A descoberta de um novo malware direcionado a servidores Linux foi atribuída a um grupo de hackers desconhecido patrocinado pelo Estado chinês.
A ExaTrack, uma empresa de segurança francesa, informou recentemente que o malware em questão se chamava Mélofée. Existe uma forte ligação entre este malware e o notório grupo Winnti APT, conforme comprovado por analistas de segurança com grande certeza.
Um grupo APT patrocinado pelo estado chamado Earth Berberoka (GamblingPuppet) também foi vinculado a este malware. Embora este grupo esteja ativo desde 2020 e tenha como alvo principal sites de jogos de azar chineses.
Existem vários programas de malware usados pelo grupo que são multiplataforma, incluindo: –
Análise técnica
Um dos recursos do malware é um rootkit em modo kernel que utiliza Reptile, um projeto de código aberto. É usado principalmente para se ocultar, já que o rootkit inclui um gancho para garantir que a máquina não o detecte.
Este pacote foi compilado para a versão do kernel 5.10.112-108.499.amzn2.x86_64, de acordo com os metadados vermagic.
Um instalador e um pacote binário personalizado são baixados de um servidor remoto para que o implante e o rootkit sejam implantados usando comandos shell.
O pacote binário é passado como argumento ao instalador durante o processo de instalação. Na próxima etapa, o rootkit é extraído junto com um módulo de implantação de servidor em desenvolvimento.
Embora existam três tipos de soquete implementados, aqui abaixo os mencionamos: –
- TCPSocket (tipo 0x0)
- Soquete TLS (tipo 0x1)
- UDPSocket (tipo 0x2)
E aqui abaixo, mencionamos os três tipos de servidores que estão disponíveis: –
- Servidor TCP (tipo 0x00)
- Servidor TL (tipo 0x1)
- ServidorUDPS (tipo 0x2)
Um segundo implante Linux chamado AlienReverse, que os pesquisadores estão analisando, foi descoberto. Existem várias diferenças críticas entre a arquitetura de código deste código e a do Mélofée, tais como:-
- Pel_decrypt e pel_encrypt do Reptile foram usados para criptografar os dados do protocolo de comunicação.
- Houve uma diferença nos IDs dos comandos.
- Outras ferramentas que o público pode acessar estão incluídas na ferramenta.
Pontos comuns entre Mélofée e AlienReverse
Embora Mélofée não compartilhava todas as características do Alien Reverse, ainda assim alguns pontos eram semelhantes.
Aqui abaixo, mencionamos os pontos comuns entre Mélofée e AlienReverse: –
- C++ foi utilizado para o desenvolvimento de ambos os implantes.
- Para garantir que apenas um implante seja executado por vez, ambos os implantes usam um arquivo com um ID fixo em /var/tmp/%s.lock.
- Um mecanismo semelhante implementado por este implante limita o tempo gasto no trabalho.
No arsenal dos atacantes patrocinados pelo Estado, a família de implantes Mélofée é outra ferramenta que prova que a China está continuamente a inovar e a desenvolver-se com esta arma.
Mélofée pode parecer um simples malware; no entanto, pode fornecer aos adversários algumas maneiras de ocultar seus ataques por meio de suas habilidades.
Leitura relacionada: