Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers Winnti APT atacam servidores Linux com novo malware ‘Mélofée’

A descoberta de um novo malware direcionado a servidores Linux foi atribuída a um grupo de hackers desconhecido patrocinado pelo Estado chinês.

A ExaTrack, uma empresa de segurança francesa, informou recentemente que o malware em questão se chamava Mélofée. Existe uma forte ligação entre este malware e o notório grupo Winnti APT, conforme comprovado por analistas de segurança com grande certeza.

Um grupo APT patrocinado pelo estado chamado Earth Berberoka (GamblingPuppet) também foi vinculado a este malware. Embora este grupo esteja ativo desde 2020 e tenha como alvo principal sites de jogos de azar chineses.

Existem vários programas de malware usados ​​pelo grupo que são multiplataforma, incluindo: –

Análise técnica

Um dos recursos do malware é um rootkit em modo kernel que utiliza Reptile, um projeto de código aberto. É usado principalmente para se ocultar, já que o rootkit inclui um gancho para garantir que a máquina não o detecte.

Este pacote foi compilado para a versão do kernel 5.10.112-108.499.amzn2.x86_64, de acordo com os metadados vermagic.

Um instalador e um pacote binário personalizado são baixados de um servidor remoto para que o implante e o rootkit sejam implantados usando comandos shell.

O pacote binário é passado como argumento ao instalador durante o processo de instalação. Na próxima etapa, o rootkit é extraído junto com um módulo de implantação de servidor em desenvolvimento.

Embora existam três tipos de soquete implementados, aqui abaixo os mencionamos: –

  • TCPSocket (tipo 0x0)
  • Soquete TLS (tipo 0x1)
  • UDPSocket (tipo 0x2)

E aqui abaixo, mencionamos os três tipos de servidores que estão disponíveis: –

  • Servidor TCP (tipo 0x00)
  • Servidor TL (tipo 0x1)
  • ServidorUDPS (tipo 0x2)

Um segundo implante Linux chamado AlienReverse, que os pesquisadores estão analisando, foi descoberto. Existem várias diferenças críticas entre a arquitetura de código deste código e a do Mélofée, tais como:-

  • Pel_decrypt e pel_encrypt do Reptile foram usados ​​para criptografar os dados do protocolo de comunicação.
  • Houve uma diferença nos IDs dos comandos.
  • Outras ferramentas que o público pode acessar estão incluídas na ferramenta.
Nós recomendamos:  Novo recurso útil sendo testado para a versão Android do Google Maps

Pontos comuns entre Mélofée e AlienReverse

Embora Mélofée não compartilhava todas as características do Alien Reverse, ainda assim alguns pontos eram semelhantes.

Aqui abaixo, mencionamos os pontos comuns entre Mélofée e AlienReverse: –

  • C++ foi utilizado para o desenvolvimento de ambos os implantes.
  • Para garantir que apenas um implante seja executado por vez, ambos os implantes usam um arquivo com um ID fixo em /var/tmp/%s.lock.
  • Um mecanismo semelhante implementado por este implante limita o tempo gasto no trabalho.

No arsenal dos atacantes patrocinados pelo Estado, a família de implantes Mélofée é outra ferramenta que prova que a China está continuamente a inovar e a desenvolver-se com esta arma.

Mélofée pode parecer um simples malware; no entanto, pode fornecer aos adversários algumas maneiras de ocultar seus ataques por meio de suas habilidades.

Leitura relacionada: