中国威胁者使用 Melofee 恶意软件监视 Linux 系统
总部位于法国的网络安全公司 ExaTrack 已就新发现的名为“Melofee”的 Linux 植入程序发出警告,中国网络间谍组织 Winnti 已使用该植入程序进行有针对性的攻击。
Melofee 旨在针对 Linux 服务器并通过 shell 命令安装,类似于 Winnti 使用的其他 Linux rootkit。该恶意软件包括一个内核模式 rootkit,它是开源项目 Reptile 的修改版本。 Melofee 样本已经确定,它们共享一个共同的代码库,但在加密、通信协议和功能方面有一些小的变化。最新版本的恶意软件包含一个内核模式 rootkit。 Melofee 的感染链涉及使用 shell 命令从攻击者控制的服务器下载安装程序和自定义二进制文件。用 C++ 编写的安装程序会同时安装 rootkit 和服务器植入程序,并确保两者都在启动时执行。
植入物可以执行多种操作,包括终止其进程和删除持久性、更新自身、泄露系统信息、启动 shell 以及创建/删除目录。 Melofee 可以通过 TCP 进行通信,使用自定义的数据包格式,并通过 KCP 协议发送数据。 ExaTrack 对 Melofee 基础设施的分析揭示了与其他恶意软件系列(如 ShadowPad、Winnti 和 HelloBot)使用的 C&C 服务器的连接。 ExaTrack 还发现了一个名为“AlienReverse”的 Linux 植入程序,它与 Melofee 的代码有相似之处,但被认为是一个独特的恶意软件家族。
什么是Winnti中文APT?
Winnti 组织是中国的高级持续性威胁 (APT),至少自 2010 年以来一直活跃。该组织以其复杂的网络间谍活动而闻名,并与针对各个行业目标的多次高调攻击有关,包括游戏、医疗保健、技术和电信。 Winnti Group 与盗窃知识产权、源代码和其他敏感信息有关,这些信息随后可能被用于商业利益或支持中国政府的利益。
该组织还与供应链攻击的使用有关,他们以软件供应商和其他第三方供应商为目标,以访问其客户的网络。总体而言,Winnti 集团被认为是在中国以外运营的最先进、最多产的 APT 集团之一。