中國威脅者使用 Melofee 惡意軟件監視 Linux 系統
總部位於法國的網絡安全公司 ExaTrack 已就新發現的名為“Melofee”的 Linux 植入程序發出警告,中國網絡間諜組織 Winnti 已使用該植入程序進行有針對性的攻擊。
Melofee 旨在針對 Linux 服務器並通過 shell 命令安裝,類似於 Winnti 使用的其他 Linux rootkit。該惡意軟件包括一個內核模式 rootkit,它是開源項目 Reptile 的修改版本。 Melofee 樣本已經確定,它們共享一個共同的代碼庫,但在加密、通信協議和功能方面有一些小的變化。最新版本的惡意軟件包含一個內核模式 rootkit。 Melofee 的感染鏈涉及使用 shell 命令從攻擊者控制的服務器下載安裝程序和自定義二進製文件。用 C++ 編寫的安裝程序會同時安裝 rootkit 和服務器植入程序,並確保兩者都在啟動時執行。
植入物可以執行多種操作,包括終止其進程和刪除持久性、更新自身、洩露系統信息、啟動 shell 以及創建/刪除目錄。 Melofee 可以通過 TCP 進行通信,使用自定義的數據包格式,並通過 KCP 協議發送數據。 ExaTrack 對 Melofee 基礎設施的分析揭示了與其他惡意軟件系列(如 ShadowPad、Winnti 和 HelloBot)使用的 C&C 服務器的連接。 ExaTrack 還發現了一個名為“AlienReverse”的 Linux 植入程序,它與 Melofee 的代碼有相似之處,但被認為是一個獨特的惡意軟件家族。
什麼是Winnti中文APT?
Winnti 組織是中國的高級持續性威脅 (APT),至少自 2010 年以來一直活躍。該組織以其複雜的網絡間諜活動而聞名,並與針對各個行業目標的多次高調攻擊有關,包括遊戲、醫療保健、技術和電信。 Winnti Group 與盜竊知識產權、源代碼和其他敏感信息有關,這些信息隨後可能被用於商業利益或支持中國政府的利益。
該組織還與供應鏈攻擊的使用有關,他們以軟件供應商和其他第三方供應商為目標,以訪問其客戶的網絡。總體而言,Winnti 集團被認為是在中國以外運營的最先進、最多產的 APT 集團之一。