Китайский злоумышленник использует вредоносное ПО Melofee для слежки за системами Linux

ExaTrack, компания по кибербезопасности, базирующаяся во Франции, выпустила предупреждение о недавно обнаруженном имплантате Linux под названием Melofee, который использовался китайской группой кибершпионажа Winnti для проведения целевых атак.

Melofee предназначен для серверов Linux и устанавливается с помощью команд оболочки, как и другие руткиты Linux, используемые Winnti. Вредоносное ПО включает в себя руткит режима ядра, который представляет собой модифицированную версию проекта Reptile с открытым исходным кодом. Были идентифицированы образцы Melofee, и они имеют общую кодовую базу, но демонстрируют небольшие изменения в шифровании, протоколе связи и функциональности. Новейшая версия вредоносной программы включает в себя руткит режима ядра. Цепочка заражения Melofee включает в себя использование команд оболочки для загрузки установщика и пользовательского двоичного файла с сервера, контролируемого злоумышленником. Установщик, написанный на C++, устанавливает как руткит, так и серверный имплантат и гарантирует, что оба они выполняются во время загрузки.

Имплантат может выполнять несколько действий, включая уничтожение своего процесса и удаление сохранения, самообновление, удаление системной информации, запуск оболочки и создание/удаление каталогов. Melofee может обмениваться данными через TCP, использовать собственный формат пакетов и отправлять данные по протоколу KCP. Проведенный ExaTrack анализ инфраструктуры Melofee выявил соединения с C&C-серверами, используемыми другими семействами вредоносных программ, такими как ShadowPad, Winnti и HelloBot. ExaTrack также обнаружил имплантат Linux под названием AlienReverse, который показал сходство с кодом Melofee, но считается отдельным семейством вредоносных программ.

Что такое Winnti китайский APT?

Winnti Group — это китайская организация Advanced Persistent Threat (APT), действующая как минимум с 2010 года. Группа известна своими изощренными кампаниями кибершпионажа и связана с многочисленными громкими атаками на цели в различных отраслях, включая игровые. , здравоохранение, технологии и телекоммуникации. Winnti Group была связана с кражей интеллектуальной собственности, исходного кода и другой конфиденциальной информации, которая затем, вероятно, использовалась для коммерческой выгоды или для поддержки интересов правительства Китая.

Группа также была связана с использованием атак на цепочку поставок, когда они нацелены на поставщиков программного обеспечения и других сторонних поставщиков, чтобы получить доступ к сетям своих клиентов. В целом Winnti Group считается одной из самых передовых и продуктивных групп APT, работающих за пределами Китая.