Chiński cyberprzestępca wykorzystuje złośliwe oprogramowanie Melofee do szpiegowania systemów Linux

ExaTrack, firma zajmująca się cyberbezpieczeństwem z siedzibą we Francji, wydała ostrzeżenie dotyczące nowo zidentyfikowanego implantu Linuksa o nazwie „Melofee”, który był używany przez chińską grupę cyberszpiegowską Winnti do przeprowadzania ukierunkowanych ataków.

Melofee jest przeznaczony do atakowania serwerów Linux i jest instalowany za pomocą poleceń powłoki, podobnie jak inne rootkity Linux wykorzystywane przez Winnti. Szkodliwe oprogramowanie zawiera rootkit w trybie jądra, który jest zmodyfikowaną wersją otwartego projektu Reptile. Zidentyfikowano próbki Melofee, które mają wspólną bazę kodu, ale wykazują niewielkie zmiany w szyfrowaniu, protokole komunikacyjnym i funkcjonalności. Najnowsza wersja złośliwego oprogramowania zawiera rootkita działającego w trybie jądra. Łańcuch infekcji Melofee obejmuje użycie poleceń powłoki w celu pobrania instalatora i niestandardowego pliku binarnego z serwera kontrolowanego przez atakującego. Instalator, napisany w języku C++, instaluje zarówno rootkita, jak i implant serwera i zapewnia, że oba są uruchamiane podczas uruchamiania.

Implant może wykonywać kilka czynności, w tym zabijać swój proces i usuwać uporczywość, aktualizować się, eksfiltrować informacje systemowe, uruchamiać powłokę i tworzyć/usuwać katalogi. Melofee może komunikować się przez TCP, używać niestandardowego formatu pakietów i wysyłać dane przez protokół KCP. Analiza infrastruktury Melofee przeprowadzona przez ExaTrack ujawniła połączenia z serwerami C&C używanymi przez inne rodziny złośliwego oprogramowania, takie jak ShadowPad, Winnti i HelloBot. ExaTrack odkrył również implant Linuksa o nazwie „AlienReverse”, który wykazywał podobieństwa do kodu Melofee, ale uważa się, że należy do odrębnej rodziny złośliwego oprogramowania.

Co to jest chiński APT Winnti?

Winnti Group to chińskie zaawansowane trwałe zagrożenie (APT), które działa co najmniej od 2010 roku. Grupa ta jest znana ze swoich wyrafinowanych kampanii cyberszpiegowskich i była powiązana z wieloma głośnymi atakami na cele w różnych branżach, w tym gier , opieki zdrowotnej, technologii i telekomunikacji. Grupa Winnti była powiązana z kradzieżą własności intelektualnej, kodu źródłowego i innych poufnych informacji, które są następnie prawdopodobnie wykorzystywane do celów handlowych lub wspierania interesów chińskiego rządu.

Grupa została również powiązana z wykorzystaniem ataków na łańcuch dostaw, w których celują w dostawców oprogramowania i innych dostawców zewnętrznych, aby uzyskać dostęp do sieci swoich klientów. Ogólnie rzecz biorąc, Grupa Winnti jest uważana za jedną z najbardziej zaawansowanych i płodnych grup APT działających poza Chinami.