Kötü amaçlı yazılım, esas olarak Çin’deki kumar web sitelerini hedefleyen Earth Berberoka (veya GamblingPuppet) adlı devlet destekli başka bir APT grubuyla bağlantılı olabilir.
Fransa merkezli bir siber güvenlik firması olan ExaTrack, Mélofée adını verdikleri “yeni” bir kötü amaçlı yazılım keşfetti. Araştırmacılara göre, bu kötü amaçlı yazılım özellikle Linux sunucularını hedefliyor ve kimliği belirsiz bir Çin devlet destekli APT grubu tarafından işletildiğine inanılıyor.
Araştırmacılar, bu kötü amaçlı yazılımı kötü şöhretli Winnti grubuyla yüksek bir güvenle ilişkilendirdiler. Araştırmacılar bir blog yazısında, “Bu kötü amaçlı yazılımı Çin devlet destekli APT gruplarıyla, özellikle de kötü şöhretli Winnti grubuyla yüksek bir güvenle ilişkilendirdik” dedi.
THN’nin raporuna göre kötü amaçlı yazılım, esas olarak Çin’deki kumar web sitelerini hedefleyen ve 2020’den beri aktif olan Earth Berberoka (veya GamblingPuppet) adlı devlet destekli başka bir APT grubuyla da bağlantılı. Grup, Pupy gibi çok platformlu kötü amaçlı yazılım kullanıyor. RAT ve HelloBot.
Kötü amaçlı yazılımın yetenekleri arasında, Reptile adlı açık kaynaklı bir projeye dayanan çekirdek modu bir rootkit yer alıyor. Temel olarak kendisini gizli tutmak için tasarlanmış bir kanca kurduğu için rootkit sınırlı özelliklere sahiptir.
İmplant ve rootkit’in her ikisi de, daha sonra yükleyiciyi ve uzak bir sunucudan çıkarılan özel bir ikili paketi indiren kabuk komutları aracılığıyla konuşlandırılmak üzere tasarlanmıştır. Bu ikili paket, rootkit’i ve şu anda aktif geliştirme aşamasında olan bir sunucu yerleştirme modülünü çıkarır.
Kötü amaçlı yazılım, uzak bir sunucuyla bağlantı kurabilir ve farklı işlemler gerçekleştirmek, bir kabuk başlatmak, yuvalar oluşturmak ve rasgele komutları yürütmek için komutlar alabilir.
Araştırmacılar, tümü ortak bir kod tabanını paylaşan, ancak iletişim protokolü evrimi ve paket formatı gibi belirli alanlarda tutarlı gelişim gösteren üç kötü amaçlı yazılım örneği keşfetti.
Şirketin incelediği iki örnek, 20220111, 20220308 olarak tanımlanan bir sürüm numarası içerirken, son örnek Nisan ve Mayıs 2022 arasında bir tarihe sahip.
Mélofée implant ailesi, sürekli yenilik ve gelişme gösteren Çin devlet destekli saldırganların cephaneliğinde bulunan bir başka araçtır.
Exatrack
ALAKALI HABERLER
- Çinli Hackerlar Group-IB Siber Güvenlik Firmasını Vurdu
- FortiOS’a Arka Kapı: Çinli Bilgisayar Korsanları 0 Günden Yararlanıyor
- Google, Çin Alışveriş Uygulamasını Kötü Amaçlı Yazılım Nedeniyle Askıya Aldı
- Çinli bilgisayar korsanları Vietnam’da casusluk yapmak için FoundCore RAT kullanıyor
- Çinli Sharp Panda çetesi, SoulSearcher kötü amaçlı yazılımını bıraktı