Ator de ameaças chinês emprega malware Melofee para espionar sistemas Linux

A ExaTrack, uma empresa de segurança cibernética com sede na França, emitiu um alerta sobre um implante Linux recém-identificado, chamado "Melofee", que foi usado pelo grupo chinês de ciberespionagem Winnti para realizar ataques direcionados.

O Melofee foi projetado para atingir servidores Linux e é instalado por meio de comandos shell, semelhantes a outros rootkits Linux empregados pelo Winnti. O malware inclui um rootkit no modo kernel que é uma versão modificada do projeto de código aberto Reptile. Amostras de Melofee foram identificadas e compartilham uma base de código comum, mas exibem pequenas alterações na criptografia, protocolo de comunicação e funcionalidade. A versão mais recente do malware apresenta a inclusão de um rootkit no modo kernel. A cadeia de infecção do Melofee envolve o uso de comandos shell para baixar um instalador e um binário personalizado de um servidor controlado pelo invasor. O instalador, escrito em C++, instala o rootkit e o implante do servidor e garante que ambos sejam executados no momento da inicialização.

O implante pode executar várias ações, incluindo encerrar seu processo e remover a persistência, atualizar-se, exfiltrar informações do sistema, iniciar um shell e criar/excluir diretórios. Melofee pode se comunicar via TCP, usar um formato de pacote personalizado e enviar dados por meio do protocolo KCP. A análise da ExaTrack da infraestrutura de Melofee revelou conexões com servidores C&C usados por outras famílias de malware, como ShadowPad, Winnti e HelloBot. O ExaTrack também descobriu um implante Linux chamado 'AlienReverse', que mostrou semelhanças com o código de Melofee, mas acredita-se que seja uma família distinta de malware.

O que é o Winnti Chinese APT?

O Winnti Group é uma Ameaça Persistente Avançada (APT) chinesa que está ativa desde pelo menos 2010. O grupo é conhecido por suas sofisticadas campanhas de ciberespionagem e tem sido associado a vários ataques de alto perfil contra alvos em vários setores, incluindo jogos , saúde, tecnologia e telecomunicações. O Winnti Group foi associado ao roubo de propriedade intelectual, código-fonte e outras informações confidenciais, que provavelmente são usadas para ganhos comerciais ou para apoiar os interesses do governo chinês.

O grupo também foi vinculado ao uso de ataques à cadeia de suprimentos, em que visam fornecedores de software e outros fornecedores terceirizados para obter acesso às redes de seus clientes. No geral, o Winnti Group é considerado um dos grupos APT mais avançados e prolíficos que operam fora da China.