Linux sunucularını hedef alan yeni bir kötü amaçlı yazılımın keşfi, bilinmeyen bir Çin devlet destekli bilgisayar korsanlığı grubuna atfedildi.
Bir Fransız güvenlik firması olan ExaTrack, yakın zamanda söz konusu kötü amaçlı yazılımın Mélofée olarak adlandırıldığını bildirdi. Güvenlik analistleri tarafından yüksek kesinlikle kanıtlandığı gibi, bu kötü amaçlı yazılım ile kötü şöhretli Winnti APT grubu arasında güçlü bir bağlantı vardır.
Earth Berberoka (GamblingPuppet) adlı devlet destekli bir APT grubu da bu kötü amaçlı yazılımla ilişkilendirildi. Bu grup 2020’den beri faaliyet gösteriyor ve öncelikle Çin’deki kumar web sitelerini hedefliyor.
Grup tarafından kullanılan ve aşağıdakiler de dahil olmak üzere çok platformlu bir dizi kötü amaçlı yazılım programı vardır: –
Teknik Analiz
Kötü amaçlı yazılımın özelliklerinden biri, açık kaynaklı bir proje olan Reptile’ı kullanan çekirdek modu bir rootkit’tir. Rootkit, makinenin onu algılamamasını sağlamak için bir kanca içerdiğinden, çoğunlukla kendini gizlemek için kullanılır.
Vermagic meta verilerine göre bu paket, çekirdek sürümü 5.10.112-108.499.amzn2.x86_64 için derlenmiştir.
Kabuk komutları kullanılarak konuşlandırılacak implant ve rootkit için uzak bir sunucudan bir yükleyici ve özel bir ikili paket indirilir.
İkili paket, kurulum işlemi sırasında yükleyiciye bir argüman olarak iletilir. Bir sonraki adımda, rootkit, şu anda geliştirilmekte olan bir sunucu yerleştirme modülüyle birlikte çıkarılır.
Uygulanan üç soket tipi olsa da ve aşağıda bunlardan bahsetmiştik: –
- TCPSocket (0x0 yazın)
- TLSSocket (tip 0x1)
- UDPSocket (tip 0x2)
Ve aşağıda, mevcut olan üç sunucu türünden bahsettik:-
- TCP Sunucusu (0x00 yazın)
- TL Sunucusu (0x1 yazın)
- UDP Sunucusu (0x2 yazın)
Araştırmacıların şu anda analiz etmekte olduğu AlienReverse adlı ikinci bir Linux implantı keşfedildi. Bu kodun kod mimarisi ile Mélofée’ninki arasında birkaç kritik fark vardır, örneğin:-
- Reptile’ın pel_decrypt ve pel_encrypt yazılımları, iletişim protokolü verilerini şifrelemek için kullanıldı.
- Komutların kimliklerinde bir fark vardı.
- Halkın erişebileceği diğer araçlar araç içinde yer almaktadır.
Mélofée ve AlienReverse arasındaki ortak noktalar
Mélofée, Alien Reverse’in tüm özelliklerini paylaşmasa da yine de bazı noktalar benzerdi.
Aşağıda, Mélofée ve AlienReverse arasındaki ortak noktalardan bahsetmiştik:-
- Her iki implantın geliştirilmesi için C++ kullanılmıştır.
- Aynı anda yalnızca bir implantın çalışmasını sağlamak için her iki implant da /var/tmp/%s.lock içinde sabit kimliğe sahip bir dosya kullanır.
- Bu implantın uyguladığı benzer bir mekanizma, çalışmak için harcanan zamanı sınırlar.
Devlet destekli saldırganların cephaneliğindeki Mélofée implant ailesi, Çin’in bu silahla sürekli yenilik ve gelişme gösterdiğini kanıtlayan bir başka araçtır.
Mélofée basit bir kötü amaçlı yazılım gibi görünebilir; ancak, rakiplerine yetenekleri aracılığıyla saldırılarını gizlemeleri için bazı yollar sağlayabilir.
API’lerinizi güvence altına almak için arama mı yapıyorsunuz? – Ücretsiz API Sızma Testini Deneyin
İlgili Okuma: