Software malicioso Melofee

Se ha descubierto que el malware denominado Melofee apunta a servidores Linux. Este malware previamente desconocido se implementa acompañado de un rootkit en modo kernel y se instala en el dispositivo violado mediante comandos de shell, similar a otros rootkits de Linux empleados por el grupo chino de ciberespionaje Winnti. Las muestras de Melofee identificadas por los investigadores de infosec probablemente se crearon en abril/mayo de 2022 y comparten una base de código común.

Sin embargo, las diferentes versiones del malware muestran pequeñas diferencias en el protocolo de comunicación, el cifrado y la funcionalidad. La última versión del malware contiene un rootkit en modo kernel, que es una versión modificada de un proyecto de código abierto llamado Reptile. El rootkit Melofee tiene una funcionalidad limitada, como la instalación de un gancho para ocultarse y otro para garantizar la comunicación con el componente de la zona de usuario, pero eso lo convierte en una amenaza más sigilosa. Los detalles sobre Melofee fueron publicados por una firma francesa de ciberseguridad.

La cadena de infección del rootkit Melofee

La cadena de infección de este malware implica varios pasos, que comienzan con la ejecución de comandos de shell para obtener un instalador y un binario personalizado de un servidor controlado por un atacante. El instalador, que está escrito en C++, es responsable de implementar tanto el rootkit como el implante del servidor, asegurándose de que ambos se ejecuten en el momento del arranque. Una vez instalado, el rootkit y el implante trabajan juntos para permanecer ocultos a la detección y persistir durante los reinicios.

El implante en sí tiene varias capacidades, incluida la capacidad de finalizar su proceso y eliminar la persistencia, actualizarse y reiniciarse, crear un nuevo socket para la interacción, recopilar información del sistema, leer y escribir archivos, iniciar un shell y administrar directorios. Esto lo convierte en una poderosa herramienta para que los atacantes la utilicen con el fin de obtener acceso y control sobre el sistema de la víctima.

Para comunicarse con el servidor de comando y control (C&C), el malware Melofee admite la comunicación TCP mediante un formato de paquete personalizado. También puede usar un canal encriptado TLS para intercambiar datos con el servidor C&C, proporcionando una capa adicional de seguridad a la comunicación. Además, el malware puede enviar datos utilizando el protocolo KCP, ampliando la gama de posibles métodos de comunicación.

Se cree que el Grupo Winnti ha estado activo durante décadas

Winnti, también conocido por varios alias como APT41 , Blackfly, Bario, Bronze Atlas, Double Dragon, Wicked Spider y Wicked Panda, es un notorio grupo de piratería que se cree que está patrocinado por el gobierno chino. El grupo ha estado lanzando activamente espionaje cibernético y ataques con fines financieros desde al menos 2007. El grupo Winnti ha sido responsable de varios ataques de alto perfil contra organizaciones en varios sectores, incluidos el cuidado de la salud, los juegos y la tecnología.

Recientemente, el análisis de la infraestructura de Melofee ha revelado conexiones con varios otros grupos de piratería y sus servidores de comando y control (C&C). Estos grupos incluyen ShadowPad , Winnti y HelloBot, todos los cuales han sido responsables de varios ataques en el pasado. Además, la infraestructura de Melofee también se ha vinculado a varios dominios que han