Melofee: новый вредонос китайских хакеров, нацеленный на серверы Linux

Специалисты ИБ-компании ExaTrack заявляют , что неизвестная хакерская группа, спонсируемая Китаем, использует новую вредоносную программу в атаках на серверы Linux .

Эксперты ExaTrack обнаружили образцы вредоносного ПО, задокументированного в начале 2022 года, которое получило название Mélofée.

Один из образцов предназначен для доставки руткита режима ядра, основанного на open-source проекте Reptile . Руткит имеет ограниченный набор функций, в основном он устанавливает веб-хук, предназначенный для сокрытия самого руткита.

По словам исследователей безопасности, имплантат и руткит развертываются с помощью команд оболочки, которые загружают установщик и двоичный пакет с удаленного сервера. Установщик принимает бинарный пакет в качестве аргумента, а затем извлекает руткит, а также модуль серверного импланта, который в настоящее время находится в активной разработке.

Mélofée получает инструкции с удаленного сервера, чтобы манипулировать файлами, создавать сокеты, запускать оболочку и выполнять произвольные команды, а также устанавливать постоянство. Стоит отметить, что некоторые образцы Pupy RAT в январской кампании были скрыты с помощью руткита Reptile.

Команда ExaTrack связала вредоносное ПО Mélofée с Китаем на основании пересечения инфраструктуры с группировками APT41 (Winnti) и Earth Berberoka (GamblingPuppet).

Специалисты ExaTrack также обнаружили еще один имплантат под кодовым названием AlienReverse, который имеет сходство кода с Mélofée и использует общедоступные инструменты EarthWorm и socks_proxy .

Эксперты отмечают, что возможности Mélofée относительно просты, но могут позволить злоумышленникам проводить свои атаки незаметно. Обнаруженные имплантаты не были широко известны, а это значит, что киберпреступники, вероятно, используют вредоносные программы только в атаках на определенные цели.