Logiciel malveillant Melofee

Le malware nommé Melofee a été découvert pour cibler les serveurs Linux. Ce logiciel malveillant jusque-là inconnu est déployé accompagné d'un rootkit en mode noyau et est installé sur l'appareil piraté à l'aide de commandes shell, similaires à d'autres rootkits Linux employés par le groupe de cyberespionnage chinois Winnti. Les échantillons de Melofee identifiés par les chercheurs d'infosec ont probablement été créés en avril/mai 2022 et partagent une base de code commune.

Cependant, les différentes versions du logiciel malveillant présentent des différences mineures dans le protocole de communication, le cryptage et les fonctionnalités. La dernière version du logiciel malveillant contient un rootkit en mode noyau, qui est une version modifiée d'un projet open source appelé Reptile. Le rootkit Melofee a des fonctionnalités limitées, telles que l'installation d'un crochet pour se cacher et un autre pour assurer la communication avec le composant userland, mais cela en fait une menace plus furtive. Des détails sur Melofee ont été publiés par une société française de cybersécurité.

La chaîne d'infection du rootkit Melofee

La chaîne d'infection de ce malware implique plusieurs étapes, qui commencent par l'exécution de commandes shell pour récupérer un programme d'installation ainsi qu'un binaire personnalisé à partir d'un serveur contrôlé par l'attaquant. Le programme d'installation, qui est écrit en C++, est chargé de déployer à la fois le rootkit et l'implant du serveur, en veillant à ce que les deux soient exécutés au démarrage. Une fois installés, le rootkit et l'implant fonctionnent ensemble pour rester cachés de la détection et persister à travers les redémarrages.

L'implant lui-même a plusieurs fonctionnalités, notamment la possibilité de mettre fin à son processus et de supprimer la persistance, de se mettre à jour et de redémarrer, de créer un nouveau socket pour l'interaction, de collecter des informations système, de lire et d'écrire des fichiers, de lancer un shell et de gérer des répertoires. Cela en fait un outil puissant que les attaquants peuvent utiliser pour accéder et contrôler le système d'une victime.

Pour communiquer avec le serveur Command-and-Control (C&C), le malware Melofee prend en charge la communication TCP en utilisant un format de paquet personnalisé. Il peut également utiliser un canal crypté TLS pour échanger des données avec le serveur C&C, offrant une couche de sécurité supplémentaire à la communication. De plus, le logiciel malveillant peut envoyer des données à l'aide du protocole KCP, élargissant ainsi l'éventail des méthodes de communication possibles.

On pense que le groupe Winnti est actif depuis des décennies

Winnti, également connu sous plusieurs pseudonymes tels que APT41 , Blackfly, Barium, Bronze Atlas, Double Dragon, Wicked Spider et Wicked Panda, est un groupe de piratage notoire qui serait parrainé par le gouvernement chinois. Le groupe lance activement du cyberespionnage et des attaques à motivation financière depuis au moins 2007. Le groupe Winnti est responsable de plusieurs attaques très médiatisées contre des organisations de divers secteurs, notamment la santé, les jeux et la technologie.

Récemment, l'analyse de l'infrastructure de Melofee a révélé des connexions avec plusieurs autres groupes de piratage et leurs serveurs de commande et de contrôle (C&C). Ces groupes incluent ShadowPad , Winnti et HelloBot, qui ont tous été responsables de diverses attaques dans le passé. De plus, l'infrastructure Melofee a également été liée à plusieurs domaines qui ont