ExaTrack, Linux sistemlerini hedef alan Mélofée adında yeni bir tespit edilmemiş implant ailesi buldu. Analistler tarafından daha önce bilinen kötü amaçlı yazılımın 2022’nin başından kalma üç örneği bulundu.
Kötü şöhretli Winnti grubu da dahil olmak üzere Çin devlet destekli APT grupları, kötü amaçlı yazılımla ilişkilidir.
Mélofée’nin yetenekleri
Araştırmacılar, çekirdek modu rootkit dahil olmak üzere bu kötü amaçlı yazılım ailesinin yeteneklerini analiz ettiler ve ardından benzer düşman araç takımlarını bulmak için bir altyapı pivot labirentinde derinlere indiler.
Eserlerden biri, açık kaynak projesi olan Reptile’a dayalı bir çekirdek modu rootkit’i bırakmaktır.
“Vermagic meta verilerine göre, 5.10.112-108.499.amzn2.x86_64 çekirdek sürümü için derlenmiştir. Rootkit’in sınırlı bir dizi özelliği var, özellikle kendini gizlemek için tasarlanmış bir kanca kurmak”, araştırmacılar.
Ayrıca, implant ve rootkit, yükleyiciyi ve düşman tarafından kontrol edilen bir sunucudan özel bir ikili paketi indiren kabuk komutları kullanılarak kuruldu.
Yükleyici de C++ ile yazılmıştır ve ikili paketi bağımsız değişken olarak kabul eder. Bunu takiben, rootkit ve sunucu bileşeni ayıklanır ve kurulur.
Mélofée’nin yetenekleri, uzak bir sunucuyla iletişim kurmasına ve dosyalar üzerinde çalışmasına, soketler oluşturmasına, bir kabuk başlatmasına ve keyfi komutları yürütmesine izin veren talimatları almasına izin verir.
Mélofée tarafından kullanılan paket formatları:
Aşağıdaki araçlar Mélofée implantlarının altyapısına bağlıdır:
- Siber Tehdit İstihbaratı, bazı sunucuları ShadowPad C&C sunucuları olarak izledi;
- Diğer sunucular hem Winnti hem de HelloBot araçlarına bağlıydı;
- PlugX, Spark9, Cobalt Strike, StowAway 10 ve meşru toDesk uzaktan kontrol aracı gibi araçlar için C&C sunucuları olarak kullanılan tanımlanmış ilgili alanlar;
- Son olarak, saldırgan muhtemelen ezXSS 11 aracını da kullandı, ancak araştırmacılar bunun nedenini doğrulayamadı.
Araştırmacılar benzer şekilde Linux ana bilgisayarlarını hedefleyen kötü amaçlı yazılım ailesi HelloBot’un Earth Berberoka gibi APT grupları tarafından kullanıldığı biliniyor.
En az 2020’den itibaren, Earth Berberoka olarak bilinen devlet destekli bir aktör, HelloBot ve Pupy RAT dahil olmak üzere çok platformlu kötü amaçlı yazılımlarla çoğunlukla Çin’deki kumar web sitelerini hedef aldı.
Araştırmacılar, “HelloBot, Winnti ve Mélofée’nin birbiriyle ilişkili olduğunu ve en azından 2022’nin tamamı boyunca Çin devleti destekli saldırgan gruplar tarafından kullanıldığını büyük bir güvenle değerlendiriyoruz” dedi.
EarthWorm ve socks_proxy gibi halka açık araçları kullanan ve Mélofée ile benzerlikleri olan AlienReverse kod adlı başka bir implant da ExaTrack tarafından bulundu.
Araştırmacılar, “Mélofée implant ailesi, Çin devlet destekli saldırganların cephaneliğinde sürekli yenilik ve gelişme gösteren başka bir araçtır” dedi.
“Mélofée’nin sunduğu yetenekler nispeten basittir, ancak düşmanların saldırılarını radar altında gerçekleştirmelerini sağlayabilir.”
Ayrıca, bu implantlar sıklıkla gözlemlenmedi, bu da saldırganın bunları muhtemelen yalnızca yüksek değerli hedeflerde kullandığını gösteriyor.
Pentester mısınız? – Ücretsiz Otomatik API Sızma Testini Deneyin
İlgili Okuma: