Nepoznata kineska hakerska grupa koju sponzoriše država povezana je s novim malicioznim softverom usmjerenim na Linux servere.
Francuska firma za kibernetičku bezbjednost ExaTrack, koja je pronašla tri uzorka ranije dokumentovanog malicioznog softvera koji datiraju iz početka 2022. godine, nazvala ga je Mélofée.
Jedan od artefakata je dizajniran da izbaci rootkit u režimu jezgra koji je zasnovan na projektu otvorenog koda koji se naziva Reptile.
“Prema vermagic metapodacima, kompajliran je za verziju kernela 5.10.112-108.499.amzn2.x86_64” navodi kompanija u izvještaju. “Rotkit ima ograničen skup funkcija, uglavnom instaliranje kuke dizajnirane za skrivanje.”
Kaže se da se i implant i rootkit postavljaju pomoću shell komandi koje preuzimaju instalater i prilagođeni binarni paket sa udaljenog servera.
Instalater uzima binarni paket kao argument, a zatim izvlači rootkit kao i serverski implantni modul koji je trenutno u aktivnom razvoju.
Mélofée-ove karakteristike se ne razlikuju od ostalih backdoor-a te vrste, omogućavajući mu da kontaktira udaljeni server i dobije uputstva koja mu omogućavaju da izvršava operacije sa datotekama, kreira sokete, pokreće shell i izvršava proizvoljne komande.
Veze malicioznog softvera sa Kinom potiču od preklapanja infrastrukture sa grupama kao što su APT41 (aka Winnti) i Earth Berberoka (aka GamblingPuppet).
Earth Berberoka je ime dato hakeru kojeg sponzoriše država i koji uglavnom cilja na web stranice za kockanje u Kini od najmanje 2020. godine koristeći višeplatformski malver poput HelloBot i Pupy RAT.
Prema Trend Micro-u, neki uzorci Pupy RAT-a baziranog na Python-u su sakriveni korištenjem Reptile rootkita.
ExaTrack je takođe otkrio još jedan implant kodnog imena AlienReverse, koji deli kodne sličnosti sa Mélofée-om i koristi javno dostupne alate kao što su EarthWorm i socks_proxy.
“Porodica implantata Mélofée je još jedno sredstvo u arsenalu napadača koje sponzoriše kineska država, a koji pokazuju stalne inovacije i razvoj” kažu iz kompanije.
“Mogućnosti koje nudi Mélofée su relativno jednostavne, ali mogu omogućiti protivnicima da izvedu svoje napade ispod radara. Ovi implanti nisu bili široko rasprostranjeni, što pokazuje da napadači vjerovatno ograničavaju njegovu upotrebu na mete visoke vrijednosti.”
Izvor: The Hacker News