中國威脅者使用 Melofee 惡意軟件監視 Linux 系統

總部位於法國的網絡安全公司 ExaTrack 已就新發現的名為“Melofee”的 Linux 植入程序發出警告，中國網絡間諜組織 Winnti 已使用該植入程序進行有針對性的攻擊。

Melofee 旨在針對 Linux 服務器並通過 shell 命令安裝，類似於 Winnti 使用的其他 Linux rootkit。該惡意軟件包括一個內核模式 rootkit，它是開源項目 Reptile 的修改版本。 Melofee 樣本已經確定，它們共享一個共同的代碼庫，但在加密、通信協議和功能方面有一些小的變化。最新版本的惡意軟件包含一個內核模式 rootkit。 Melofee 的感染鏈涉及使用 shell 命令從攻擊者控制的服務器下載安裝程序和自定義二進製文件。用 C++ 編寫的安裝程序會同時安裝 rootkit 和服務器植入程序，並確保兩者都在啟動時執行。

植入物可以執行多種操作，包括終止其進程和刪除持久性、更新自身、洩露系統信息、啟動 shell 以及創建/刪除目錄。 Melofee 可以通過 TCP 進行通信，使用自定義的數據包格式，並通過 KCP 協議發送數據。 ExaTrack 對 Melofee 基礎設施的分析揭示了與其他惡意軟件系列（如 ShadowPad、Winnti 和 HelloBot）使用的 C&C 服務器的連接。 ExaTrack 還發現了一個名為“AlienReverse”的 Linux 植入程序，它與 Melofee 的代碼有相似之處，但被認為是一個獨特的惡意軟件家族。

什麼是Winnti中文APT？

Winnti 組織是中國的高級持續性威脅 (APT)，至少自 2010 年以來一直活躍。該組織以其複雜的網絡間諜活動而聞名，並與針對各個行業目標的多次高調攻擊有關，包括遊戲、醫療保健、技術和電信。 Winnti Group 與盜竊知識產權、源代碼和其他敏感信息有關，這些信息隨後可能被用於商業利益或支持中國政府的利益。

該組織還與供應鏈攻擊的使用有關，他們以軟件供應商和其他第三方供應商為目標，以訪問其客戶的網絡。總體而言，Winnti 集團被認為是在中國以外運營的最先進、最多產的 APT 集團之一。