29 Mart 2023Ravie LakshmananLinux / Siber Tehdit
Bilinmeyen bir Çin devlet destekli bilgisayar korsanlığı grubu, Linux sunucularını hedefleyen yeni bir kötü amaçlı yazılım parçasıyla ilişkilendirildi.
Daha önce belgelenen ve 2022’nin başlarına kadar uzanan kötü amaçlı yazılımın üç örneğini bulan Fransız siber güvenlik firması ExaTrack, buna ad verdi. melofee.
Üç eserin en yenisi, şu şekilde adlandırılan bir açık kaynak projesine dayanan bir çekirdek modu rootkit’i bırakmak için tasarlanmıştır: Sürüngen.
Şirket, “Vermagic meta verilerine göre, 5.10.112-108.499.amzn2.x86_64 çekirdek sürümü için derlendi” dedi. söz konusu bir raporda. “Rootkit’in sınırlı bir dizi özelliği var, özellikle kendini gizlemek için tasarlanmış bir kanca kurmak.”
Hem implantın hem de rootkit’in, uzak bir sunucudan bir yükleyici ve özel bir ikili paket indiren kabuk komutları kullanılarak konuşlandırıldığı söyleniyor.
Yükleyici, ikili paketi bağımsız değişken olarak alır ve ardından rootkit’in yanı sıra şu anda aktif geliştirme aşamasında olan bir sunucu yerleştirme modülünü çıkarır.
Mélofée’nin özellikleri, kendi türündeki diğer arka kapılardan farklı değildir; uzak bir sunucuyla bağlantı kurmasını ve dosya işlemlerini gerçekleştirmesine, soketler oluşturmasına, bir kabuk başlatmasına ve keyfi komutları yürütmesine izin veren talimatları almasını sağlar.
Kötü amaçlı yazılımın Çin ile olan bağları, APT41 (aka Winnti) ve Toprak Berberoka (aka Kumar Kuklası).
Earth Berberoka, HelloBot ve benzeri çok platformlu kötü amaçlı yazılımları kullanarak en az 2020’den beri esas olarak Çin’deki kumar web sitelerini hedefleyen devlet destekli bir aktöre verilen addır. yavru fare.
Trend Micro’ya göre, Python tabanlı Pupy RAT’ın bazı örnekleri Reptile rootkit kullanılarak gizlenmiştir.
Kimlik Çevresini Korumayı Öğrenin – Kanıtlanmış Stratejiler
Uzman liderliğindeki siber güvenlik web seminerimizle işletmenizin güvenliğini artırın: Kimlik Çevresi stratejilerini keşfedin!
Fırsatı Kaçırmayın – Koltuğunuzu Kaydedin!
ExaTrack tarafından ayrıca Mélofée ile kod benzerlikleri paylaşan ve aşağıdaki gibi halka açık araçlardan yararlanan AlienReverse kod adlı başka bir implant keşfedildi. Solucan Ve çorap_proxy.
Şirket, “Mélofée implant ailesi, Çin devlet destekli saldırganların cephaneliğinde sürekli yenilik ve gelişme gösteren başka bir araçtır” dedi.
“Mélofée’nin sunduğu yetenekler nispeten basittir, ancak düşmanların saldırılarını radar altında gerçekleştirmelerine olanak sağlayabilir. Bu implantlar yaygın olarak görülmedi, bu da saldırganların kullanımını büyük olasılıkla yüksek değerli hedeflerle sınırladığını gösteriyor.”