Chinese bedreigingsactor gebruikt Melofee-malware om Linux-systemen te bespioneren
ExaTrack, een cyberbeveiligingsbedrijf gevestigd in Frankrijk, heeft een waarschuwing afgegeven over een nieuw geïdentificeerd Linux-implantaat, genaamd "Melofee", dat door de Chinese cyberspionagegroep Winnti is gebruikt om gerichte aanvallen uit te voeren.
Melofee is ontworpen om zich op Linux-servers te richten en wordt geïnstalleerd via shell-commando's, vergelijkbaar met andere Linux-rootkits die door Winnti worden gebruikt. De malware bevat een rootkit in de kernelmodus die een aangepaste versie is van het open-sourceproject Reptile. Melofee-voorbeelden zijn geïdentificeerd en ze delen een gemeenschappelijke codebasis, maar vertonen kleine veranderingen in codering, communicatieprotocol en functionaliteit. De nieuwste versie van de malware bevat een rootkit in de kernelmodus. De infectieketen voor Melofee omvat het gebruik van shell-commando's om een installatieprogramma en aangepast binair bestand te downloaden van een server die wordt beheerd door de aanvaller. Het installatieprogramma, geschreven in C++, installeert zowel de rootkit als de serverimplantatie en zorgt ervoor dat beide tijdens het opstarten worden uitgevoerd.
Het implantaat kan verschillende acties uitvoeren, waaronder het beëindigen van het proces en het verwijderen van persistentie, het bijwerken van zichzelf, het exfiltreren van systeeminformatie, het starten van een shell en het maken/verwijderen van mappen. Melofee kan communiceren via TCP, een aangepast pakketformaat gebruiken en gegevens verzenden via het KCP-protocol. ExaTrack's analyse van de infrastructuur van Melofee onthulde verbindingen met C&C-servers die worden gebruikt door andere malwarefamilies zoals ShadowPad, Winnti en HelloBot. ExaTrack ontdekte ook een Linux-implantaat genaamd 'AlienReverse', dat overeenkomsten vertoonde met de code van Melofee, maar waarvan wordt aangenomen dat het een aparte malwarefamilie is.
Wat is de Winnti Chinese APT?
De Winnti Group is een Chinese Advanced Persistent Threat (APT) die al minstens sinds 2010 actief is. De groep staat bekend om zijn geavanceerde cyberspionagecampagnes en is in verband gebracht met talloze spraakmakende aanvallen op doelen in verschillende industrieën, waaronder gaming. , gezondheidszorg, technologie en telecommunicatie. De Winnti Group wordt in verband gebracht met de diefstal van intellectueel eigendom, broncode en andere gevoelige informatie, die vervolgens waarschijnlijk wordt gebruikt voor commercieel gewin of ter ondersteuning van de belangen van de Chinese overheid.
De groep is ook in verband gebracht met het gebruik van supply chain-aanvallen, waarbij ze zich richten op softwareleveranciers en andere externe leveranciers om toegang te krijgen tot de netwerken van hun klanten. Over het algemeen wordt de Winnti Group beschouwd als een van de meest geavanceerde en productieve APT-groepen die vanuit China opereren.