Kinesisk trusselskuespiller bruker Melofee-malware for å spionere på Linux-systemer
ExaTrack, et cybersikkerhetsselskap med base i Frankrike, har utstedt en advarsel om et nylig identifisert Linux-implantat, kalt "Melofee", som har blitt brukt av den kinesiske cyberspionagegruppen Winnti til å utføre målrettede angrep.
Melofee er designet for å målrette Linux-servere og installeres gjennom shell-kommandoer, på samme måte som andre Linux-rootkits brukt av Winnti. Skadevaren inkluderer et rootkit i kjernemodus som er en modifisert versjon av åpen kildekode-prosjektet Reptile. Melofee-eksempler er identifisert, og de deler en felles kodebase, men viser små endringer i kryptering, kommunikasjonsprotokoll og funksjonalitet. Den nyeste versjonen av skadelig programvare har inkludering av et rootkit i kjernemodus. Infeksjonskjeden for Melofee involverer bruk av skallkommandoer for å laste ned et installasjonsprogram og tilpasset binær fra en server kontrollert av angriperen. Installasjonsprogrammet, skrevet i C++, installerer både rotsettet og serverimplantatet og sørger for at begge utføres ved oppstart.
Implantatet kan utføre flere handlinger, inkludert å drepe prosessen og fjerne persistens, oppdatere seg selv, eksfiltrere systeminformasjon, starte et skall og opprette/slette kataloger. Melofee kan kommunisere via TCP, bruke et tilpasset pakkeformat og sende data gjennom KCP-protokollen. ExaTracks analyse av Melofees infrastruktur avslørte forbindelser med C&C-servere brukt av andre skadevarefamilier som ShadowPad, Winnti og HelloBot. ExaTrack oppdaget også et Linux-implantat kalt 'AlienReverse', som viste likheter med Melofees kode, men som antas å være en distinkt malware-familie.
Hva er Winnti Chinese APT?
Winnti Group er en kinesisk Advanced Persistent Threat (APT) som har vært aktiv siden minst 2010. Gruppen er kjent for sine sofistikerte cyberspionasjekampanjer og har vært knyttet til en rekke høyprofilerte angrep mot mål i ulike bransjer, inkludert spill , helsevesen, teknologi og telekommunikasjon. Winnti-gruppen har blitt assosiert med tyveri av åndsverk, kildekode og annen sensitiv informasjon, som sannsynligvis brukes til kommersiell vinning eller for å støtte kinesiske myndigheters interesser.
Gruppen har også vært knyttet til bruk av forsyningskjedeangrep, hvor de retter seg mot programvareleverandører og andre tredjepartsleverandører for å få tilgang til kundenes nettverk. Totalt sett anses Winnti Group for å være en av de mest avanserte og produktive APT-gruppene som opererer i Kina.
