Неизвестные хакеры, новый вредонос, но старые функции. Что подготовил Melofee для серверов Linux?
Специалисты ИБ-компании ExaTrack Для просмотра ссылки Войдиили Зарегистрируйся , что неизвестная хакерская группа, спонсируемая Китаем, использует новую вредоносную программу в атаках на серверы Linux .
Эксперты ExaTrack обнаружили образцы вредоносного ПО, задокументированного в начале 2022 года, которое получило название Mélofée.
Один из образцов предназначен для доставки руткита режима ядра, основанного на open-source проекте Для просмотра ссылки Войдиили Зарегистрируйся . Руткит имеет ограниченный набор функций, в основном он устанавливает веб-хук, предназначенный для сокрытия самого руткита.
По словам исследователей безопасности, имплантат и руткит развертываются с помощью команд оболочки, которые загружают установщик и двоичный пакет с удаленного сервера. Установщик принимает бинарный пакет в качестве аргумента, а затем извлекает руткит, а также модуль серверного импланта, который в настоящее время находится в активной разработке.
Mélofée получает инструкции с удаленного сервера, чтобы манипулировать файлами, создавать сокеты, запускать оболочку и выполнять произвольные команды, а также устанавливать постоянство. Стоит отметить, что некоторые образцы Для просмотра ссылки Войдиили Зарегистрируйся в январской кампании были скрыты с помощью руткита Reptile.
Команда ExaTrack связала вредоносное ПО Mélofée с Китаем на основании пересечения инфраструктуры с группировками APT41 (Winnti) и Earth Berberoka (GamblingPuppet).
Специалисты ExaTrack также обнаружили еще один имплантат под кодовым названием AlienReverse, который имеет сходство кода с Mélofée и использует общедоступные инструменты Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся .
Эксперты отмечают, что возможности Mélofée относительно просты, но могут позволить злоумышленникам проводить свои атаки незаметно. Обнаруженные имплантаты не были широко известны, а это значит, что киберпреступники, вероятно, используют вредоносные программы только в атаках на определенные цели.
Специалисты ИБ-компании ExaTrack Для просмотра ссылки Войди
Эксперты ExaTrack обнаружили образцы вредоносного ПО, задокументированного в начале 2022 года, которое получило название Mélofée.
Один из образцов предназначен для доставки руткита режима ядра, основанного на open-source проекте Для просмотра ссылки Войди
По словам исследователей безопасности, имплантат и руткит развертываются с помощью команд оболочки, которые загружают установщик и двоичный пакет с удаленного сервера. Установщик принимает бинарный пакет в качестве аргумента, а затем извлекает руткит, а также модуль серверного импланта, который в настоящее время находится в активной разработке.
Mélofée получает инструкции с удаленного сервера, чтобы манипулировать файлами, создавать сокеты, запускать оболочку и выполнять произвольные команды, а также устанавливать постоянство. Стоит отметить, что некоторые образцы Для просмотра ссылки Войди
Команда ExaTrack связала вредоносное ПО Mélofée с Китаем на основании пересечения инфраструктуры с группировками APT41 (Winnti) и Earth Berberoka (GamblingPuppet).
Специалисты ExaTrack также обнаружили еще один имплантат под кодовым названием AlienReverse, который имеет сходство кода с Mélofée и использует общедоступные инструменты Для просмотра ссылки Войди
Эксперты отмечают, что возможности Mélofée относительно просты, но могут позволить злоумышленникам проводить свои атаки незаметно. Обнаруженные имплантаты не были широко известны, а это значит, что киберпреступники, вероятно, используют вредоносные программы только в атаках на определенные цели.
- Источник новости
- www.securitylab.ru