Melofe マルウェア
Melofe と呼ばれるマルウェアが、Linux サーバーを標的とすることが発見されました。この未知のマルウェアは、カーネル モードのルートキットとともに展開され、シェル コマンドを使用して侵害されたデバイスにインストールされます。これは、中国のサイバースパイ グループ Winnti が使用する他の Linux ルートキットと同様です。情報セキュリティの研究者によって特定された Melofee のサンプルは、2022 年 4 月または 5 月に作成された可能性が高く、共通のコード ベースを共有しています。
ただし、マルウェアのバージョンが異なると、通信プロトコル、暗号化、および機能にわずかな違いが見られます。このマルウェアの最新バージョンには、Reptile と呼ばれるオープンソース プロジェクトの修正版であるカーネル モードのルートキットが含まれています。 Melofee ルートキットの機能は限られています。フックをインストールして自身を隠したり、別のフックをインストールしてユーザーランド コンポーネントとの通信を確保したりできますが、これによりステルス性の高い脅威となっています。 Melofe に関する詳細は、フランスのサイバーセキュリティ会社によって公開されました。
Melofe ルートキットの感染チェーン
このマルウェアの感染チェーンには、シェル コマンドの実行から始まり、攻撃者が制御するサーバーからインストーラーとカスタム バイナリを取得するいくつかの手順が含まれます。 C++ で記述されたインストーラーは、ルートキットとサーバー インプラントの両方を展開し、起動時に両方が確実に実行されるようにします。インストールが完了すると、ルートキットとインプラントが連携して検出されないようになり、再起動後も存続します。
インプラント自体には、プロセスを終了して永続性を削除する機能、自身を更新して再起動する機能、対話用の新しいソケットを作成する機能、システム情報を収集する機能、ファイルを読み書きする機能、シェルを起動する機能、ディレクトリを管理する機能など、いくつかの機能があります。これにより、攻撃者が被害者のシステムにアクセスして制御するために使用する強力なツールになります。
Command-and-Control (C&C) サーバーと通信するために、Melofee マルウェアはカスタム パケット形式を使用した TCP 通信をサポートしています。また、TLS 暗号化チャネルを使用して C&C サーバーとデータを交換し、通信に追加のセキュリティ レイヤーを提供することもできます。さらに、マルウェアは KCP プロトコルを使用してデータを送信できるため、可能な通信方法の範囲が広がります。
Winnti グループは数十年にわたって活動していたと考えられています
APT41 、Blackfly、Barium、Bronze Atlas、Double Dragon、Wicked Spider、Wicked Panda などの別名でも知られる Winnti は、中国政府が後援していると考えられている悪名高いハッキング グループです。このグループは、少なくとも 2007 年以降、サイバー スパイ活動や金銭目的の攻撃を積極的に行ってきました。
最近、Melofee インフラストラクチャの分析により、他のいくつかのハッキング グループとそのコマンド アンド コントロール (C&C) サーバーとの接続が明らかになりました。これらのグループには、 ShadowPad 、Winnti、および HelloBot が含まれており、いずれも過去にさまざまな攻撃を行ってきました。さらに、Melofee インフラストラクチャは、複数のドメインにリンクされています。