中国威胁者使用 Melofee 恶意软件监视 Linux 系统

总部位于法国的网络安全公司 ExaTrack 已就新发现的名为“Melofee”的 Linux 植入程序发出警告，中国网络间谍组织 Winnti 已使用该植入程序进行有针对性的攻击。

Melofee 旨在针对 Linux 服务器并通过 shell 命令安装，类似于 Winnti 使用的其他 Linux rootkit。该恶意软件包括一个内核模式 rootkit，它是开源项目 Reptile 的修改版本。 Melofee 样本已经确定，它们共享一个共同的代码库，但在加密、通信协议和功能方面有一些小的变化。最新版本的恶意软件包含一个内核模式 rootkit。 Melofee 的感染链涉及使用 shell 命令从攻击者控制的服务器下载安装程序和自定义二进制文件。用 C++ 编写的安装程序会同时安装 rootkit 和服务器植入程序，并确保两者都在启动时执行。

植入物可以执行多种操作，包括终止其进程和删除持久性、更新自身、泄露系统信息、启动 shell 以及创建/删除目录。 Melofee 可以通过 TCP 进行通信，使用自定义的数据包格式，并通过 KCP 协议发送数据。 ExaTrack 对 Melofee 基础设施的分析揭示了与其他恶意软件系列（如 ShadowPad、Winnti 和 HelloBot）使用的 C&C 服务器的连接。 ExaTrack 还发现了一个名为“AlienReverse”的 Linux 植入程序，它与 Melofee 的代码有相似之处，但被认为是一个独特的恶意软件家族。

什么是Winnti中文APT？

Winnti 组织是中国的高级持续性威胁 (APT)，至少自 2010 年以来一直活跃。该组织以其复杂的网络间谍活动而闻名，并与针对各个行业目标的多次高调攻击有关，包括游戏、医疗保健、技术和电信。 Winnti Group 与盗窃知识产权、源代码和其他敏感信息有关，这些信息随后可能被用于商业利益或支持中国政府的利益。

该组织还与供应链攻击的使用有关，他们以软件供应商和其他第三方供应商为目标，以访问其客户的网络。总体而言，Winnti 集团被认为是在中国以外运营的最先进、最多产的 APT 集团之一。