Неизвестные хакеры, новый вредонос, но старые функции. Что подготовил Melofee для серверов Linux?
https://www.securitylab.ru/upload/ib...gytt5ecqdy.jpg
Специалисты ИБ-компании ExaTrack заявляют , что неизвестная хакерская группа, спонсируемая Китаем, использует новую вредоносную программу в атаках на серверы Linux.
Эксперты ExaTrack обнаружили образцы вредоносного ПО, задокументированного в начале 2022 года, которое получило название Mélofée.
Один из образцов предназначен для доставки руткита режима ядра, основанного на open-source проекте Reptile . Руткит имеет ограниченный набор функций, в основном он устанавливает веб-хук, предназначенный для сокрытия самого руткита.
По словам исследователей безопасности, имплантат и руткит развертываются с помощью команд оболочки, которые загружают установщик и двоичный пакет с удаленного сервера. Установщик принимает бинарный пакет в качестве аргумента, а затем извлекает руткит, а также модуль серверного импланта, который в настоящее время находится в активной разработке.
Mélofée получает инструкции с удаленного сервера, чтобы манипулировать файлами, создавать сокеты, запускать оболочку и выполнять произвольные команды, а также устанавливать постоянство. Стоит отметить, что некоторые образцы Pupy RAT в январской кампании были скрыты с помощью руткита Reptile.
Команда ExaTrack связала вредоносное ПО Mélofée с Китаем на основании пересечения инфраструктуры с группировками APT41 (Winnti) и Earth Berberoka (GamblingPuppet).
Специалисты ExaTrack также обнаружили еще один имплантат под кодовым названием AlienReverse, который имеет сходство кода с Mélofée и использует общедоступные инструменты EarthWorm и socks_proxy .
Эксперты отмечают, что возможности Mélofée относительно просты, но могут позволить злоумышленникам проводить свои атаки незаметно. Обнаруженные имплантаты не были широко известны, а это значит, что киберпреступники, вероятно, используют вредоносные программы только в атаках на определенные цели.