Kinesisk hotskådespelare använder Melofee Malware för att spionera på Linux-system
ExaTrack, ett cybersäkerhetsföretag baserat i Frankrike, har utfärdat en varning om ett nyligen identifierat Linux-implantat, kallat "Melofee", som har använts av den kinesiska cyberspionagegruppen Winnti för att utföra riktade attacker.
Melofee är utformad för att rikta in sig på Linux-servrar och installeras genom skalkommandon, liknande andra Linux-rootkits som används av Winnti. Skadlig programvara inkluderar ett rootkit i kärnläge som är en modifierad version av open-source-projektet Reptile. Melofee-prover har identifierats och de delar en gemensam kodbas men uppvisar små förändringar i kryptering, kommunikationsprotokoll och funktionalitet. Den senaste versionen av skadlig programvara innehåller inkluderingen av ett rootkit i kärnläge. Infektionskedjan för Melofee innebär användning av skalkommandon för att ladda ner ett installationsprogram och anpassad binär från en server som kontrolleras av angriparen. Installationsprogrammet, skrivet i C++, installerar både rootkit och serverimplantat och ser till att båda exekveras vid uppstart.
Implantatet kan utföra flera åtgärder, inklusive att döda dess process och ta bort persistens, uppdatera sig själv, exfiltrera systeminformation, starta ett skal och skapa/ta bort kataloger. Melofee kan kommunicera via TCP, använda ett anpassat paketformat och skicka data via KCP-protokollet. ExaTracks analys av Melofees infrastruktur avslöjade kopplingar till C&C-servrar som används av andra skadliga programfamiljer som ShadowPad, Winnti och HelloBot. ExaTrack upptäckte också ett Linux-implantat som heter 'AlienReverse', som visade likheter med Melofees kod men som tros vara en distinkt skadlig programvara.
Vad är Winnti Chinese APT?
Winnti Group är ett kinesiskt Advanced Persistent Threat (APT) som har varit aktiv sedan åtminstone 2010. Gruppen är känd för sina sofistikerade cyberspionagekampanjer och har kopplats till ett flertal högprofilerade attacker mot mål i olika branscher, inklusive spel , sjukvård, teknik och telekommunikation. Winnti-gruppen har förknippats med stöld av immateriell egendom, källkod och annan känslig information, som sedan sannolikt används för kommersiell vinning eller för att stödja kinesiska myndigheters intressen.
Gruppen har också kopplats till användningen av supply chain-attacker, där de riktar in sig på mjukvaruleverantörer och andra tredjepartsleverantörer för att få tillgång till sina kunders nätverk. Sammantaget anses Winnti Group vara en av de mest avancerade och produktiva APT-grupperna som verkar i Kina.
