Melofee-Malware

Es wurde entdeckt, dass die Malware namens Melofee auf Linux-Server abzielt. Diese bisher unbekannte Malware wird zusammen mit einem Kernelmodus-Rootkit bereitgestellt und mithilfe von Shell-Befehlen auf dem angegriffenen Gerät installiert, ähnlich wie andere Linux-Rootkits, die von der chinesischen Cyberspionage-Gruppe Winnti eingesetzt werden. Die von den Infosec-Forschern identifizierten Melofee-Beispiele wurden wahrscheinlich im April/Mai 2022 erstellt und teilen sich eine gemeinsame Codebasis.

Die verschiedenen Versionen der Malware weisen jedoch geringfügige Unterschiede in Kommunikationsprotokoll, Verschlüsselung und Funktionalität auf. Die neueste Version der Malware enthält ein Kernelmodus-Rootkit, das eine modifizierte Version eines Open-Source-Projekts namens Reptile ist. Das Melofee-Rootkit hat eine eingeschränkte Funktionalität, z. B. die Installation eines Hakens, um sich selbst zu verstecken, und eines weiteren, um die Kommunikation mit der Userland-Komponente sicherzustellen, aber das macht es zu einer heimlicheren Bedrohung. Einzelheiten zu Melofee wurden von einer französischen Cybersicherheitsfirma veröffentlicht.

Die Infektionskette des Melofee-Rootkits

Die Infektionskette dieser Malware umfasst mehrere Schritte, die mit der Ausführung von Shell-Befehlen beginnen, um ein Installationsprogramm sowie eine benutzerdefinierte Binärdatei von einem von Angreifern kontrollierten Server abzurufen. Das in C++ geschriebene Installationsprogramm ist für die Bereitstellung sowohl des Rootkits als auch des Serverimplantats verantwortlich und stellt sicher, dass beide beim Booten ausgeführt werden. Nach der Installation arbeiten das Rootkit und das Implantat zusammen, um vor Erkennung verborgen zu bleiben und über Neustarts hinweg bestehen zu bleiben.

Das Implantat selbst verfügt über mehrere Fähigkeiten, darunter die Fähigkeit, seinen Prozess zu beenden und Persistenz zu entfernen, sich selbst zu aktualisieren und neu zu starten, einen neuen Socket für die Interaktion zu erstellen, Systeminformationen zu sammeln, Dateien zu lesen und zu schreiben, eine Shell zu starten und Verzeichnisse zu verwalten. Dies macht es zu einem mächtigen Werkzeug für Angreifer, um Zugriff auf und Kontrolle über das System eines Opfers zu erlangen.

Um mit dem Command-and-Control (C&C)-Server zu kommunizieren, unterstützt die Melofee-Malware die TCP-Kommunikation mit einem benutzerdefinierten Paketformat. Es kann auch einen TLS-verschlüsselten Kanal verwenden, um Daten mit dem C&C-Server auszutauschen, was eine zusätzliche Sicherheitsebene für die Kommunikation bietet. Darüber hinaus kann die Malware Daten über das KCP-Protokoll senden, wodurch die Palette möglicher Kommunikationsmethoden erweitert wird.

Es wird angenommen, dass die Winnti-Gruppe seit Jahrzehnten aktiv ist

Winnti, auch bekannt unter mehreren Decknamen wie APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider und Wicked Panda, ist eine berüchtigte Hacking-Gruppe, von der angenommen wird, dass sie von der chinesischen Regierung gesponsert wird. Die Gruppe startet seit mindestens 2007 aktiv Cyberspionage und finanziell motivierte Angriffe. Die Winnti- Gruppe war für mehrere hochkarätige Angriffe auf Organisationen in verschiedenen Sektoren verantwortlich, darunter Gesundheitswesen, Spiele und Technologie.

Kürzlich hat eine Analyse der Melofee-Infrastruktur Verbindungen zu mehreren anderen Hacking-Gruppen und ihren Command-and-Control-Servern (C&C) aufgedeckt. Zu diesen Gruppen gehören ShadowPad , Winnti und HelloBot, die alle in der Vergangenheit für verschiedene Angriffe verantwortlich waren. Darüber hinaus wurde die Melofee-Infrastruktur auch mit mehreren Domänen verknüpft, die dies getan haben