Новости Melofee: новый вредонос китайских хакеров, нацеленный на серверы Linux

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Неизвестные хакеры, новый вредонос, но старые функции. Что подготовил Melofee для серверов Linux?


rwpa7gd0admudsokfueimggytt5ecqdy.jpg


Специалисты ИБ-компании ExaTrack Для просмотра ссылки Войди или Зарегистрируйся , что неизвестная хакерская группа, спонсируемая Китаем, использует новую вредоносную программу в атаках на серверы Linux .

Эксперты ExaTrack обнаружили образцы вредоносного ПО, задокументированного в начале 2022 года, которое получило название Mélofée.

Один из образцов предназначен для доставки руткита режима ядра, основанного на open-source проекте Для просмотра ссылки Войди или Зарегистрируйся . Руткит имеет ограниченный набор функций, в основном он устанавливает веб-хук, предназначенный для сокрытия самого руткита.

По словам исследователей безопасности, имплантат и руткит развертываются с помощью команд оболочки, которые загружают установщик и двоичный пакет с удаленного сервера. Установщик принимает бинарный пакет в качестве аргумента, а затем извлекает руткит, а также модуль серверного импланта, который в настоящее время находится в активной разработке.

Mélofée получает инструкции с удаленного сервера, чтобы манипулировать файлами, создавать сокеты, запускать оболочку и выполнять произвольные команды, а также устанавливать постоянство. Стоит отметить, что некоторые образцы Для просмотра ссылки Войди или Зарегистрируйся в январской кампании были скрыты с помощью руткита Reptile.

Команда ExaTrack связала вредоносное ПО Mélofée с Китаем на основании пересечения инфраструктуры с группировками APT41 (Winnti) и Earth Berberoka (GamblingPuppet).

Специалисты ExaTrack также обнаружили еще один имплантат под кодовым названием AlienReverse, который имеет сходство кода с Mélofée и использует общедоступные инструменты Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся .

Эксперты отмечают, что возможности Mélofée относительно просты, но могут позволить злоумышленникам проводить свои атаки незаметно. Обнаруженные имплантаты не были широко известны, а это значит, что киберпреступники, вероятно, используют вредоносные программы только в атаках на определенные цели.
 
Источник новости
www.securitylab.ru

Похожие темы