Bilinmeyen bir Çin devlet destekli bilgisayar korsanlığı grubu, Linux sunucularını hedefleyen yeni bir kötü amaçlı yazılım parçasıyla ilişkilendirildi.
Daha önce belgelenen ve 2022’nin başlarına kadar uzanan kötü amaçlı yazılımın üç örneğini bulan Fransız siber güvenlik firması ExaTrack, buna ad verdi. clefairy.
Yapıtlardan biri, Reptile olarak adlandırılan açık kaynaklı bir projeye dayanan bir çekirdek modu rootkit’i bırakmak için tasarlanmıştır.
Şirket bir raporda, “Vermagic meta verilerine göre, 5.10.112-108.499.amzn2.x86_64 çekirdek sürümü için derlendi” dedi. “Rootkit’in sınırlı bir dizi özelliği var, özellikle kendini gizlemek için tasarlanmış bir kanca kurmak.”
Hem implantın hem de rootkit’in, uzak bir sunucudan bir yükleyici ve özel bir ikili paket indiren kabuk komutları kullanılarak konuşlandırıldığı söyleniyor.
Yükleyici, ikili paketi bağımsız değişken olarak alır ve ardından rootkit’in yanı sıra şu anda aktif geliştirme aşamasında olan bir sunucu yerleştirme modülünü çıkarır.
Mélofée’nin özellikleri, kendi türündeki diğer arka kapılardan farklı değildir; uzak bir sunucuyla bağlantı kurmasını ve dosya işlemlerini gerçekleştirmesine, soketler oluşturmasına, bir kabuk başlatmasına ve keyfi komutları yürütmesine izin veren talimatları almasını sağlar.
Kötü amaçlı yazılımın Çin ile olan bağlantıları, APT41 (aka Winnti) ve Earth Berberoka (aka GamblingPuppet) gibi gruplarla altyapı çakışmalarından kaynaklanmaktadır.
Earth Berberoka, HelloBot ve Pupy RAT gibi çok platformlu kötü amaçlı yazılımları kullanarak en az 2020’den beri esas olarak Çin’deki kumar web sitelerini hedefleyen devlet destekli bir aktöre verilen addır.
Trend Micro’ya göre, Python tabanlı Pupy RAT’ın bazı örnekleri Reptile rootkit kullanılarak gizlenmiştir.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
ExaTrack tarafından ayrıca Mélofée ile kod benzerlikleri paylaşan ve EarthWorm ve socks_proxy gibi halka açık araçlardan yararlanan AlienReverse kod adlı başka bir implant keşfedildi.
Şirket, “Mélofée implant ailesi, Çin devlet destekli saldırganların cephaneliğinde sürekli yenilik ve gelişme gösteren başka bir araçtır” dedi.
“Mélofée’nin sunduğu yetenekler nispeten basittir, ancak düşmanların saldırılarını radar altında gerçekleştirmelerine olanak sağlayabilir. Bu implantlar yaygın olarak görülmedi, bu da saldırganların kullanımını büyük olasılıkla yüksek değerli hedeflerle sınırladığını gösteriyor.”