Το Mélofée malware μπορεί να συνδέεται με μια άλλη κρατική ομάδα APT που ονομάζεται Earth Berberoka (ή GamblingPuppet), η οποία στοχεύει κυρίως ιστοτόπους gambling στην Κίνα.
Η ExaTrack, μια εταιρεία κυβερνοασφάλειας που εδρεύει στη Γαλλία, ανακάλυψε πρόσφατα το καινοτόμο κακόβουλο λογισμικό που ονόμασε Mélofée. Αυτό το malware στοχεύει ιδιαίτερα Linux servers και πιστεύεται ότι το διαχειρίζεται μια ανώνυμη κινεζική ομάδα APT που υποστηρίζεται από το κράτος.
Δείτε επίσης: Χάκερ παραβιάζουν το 3CX desktop app σε επίθεση supply chain
Με απόλυτη βεβαιότητα, οι ερευνητές έχουν συνδέσει αυτό το κακόβουλο λογισμικό με τη γνωστή ομάδα Winnti. Σε μια ανάρτηση, δήλωσαν ρητά ότι “υπάρχουν πολλά στοιχεία που συνδέουν αυτό το κακόβουλο λογισμικό με κινεζικές κρατικά χρηματοδοτούμενες ομάδες APT – ειδικά τη διαβόητη ομάδα Winnti”.
Όπως αναφέρει το THN, διαπιστώθηκε μια περαιτέρω σύνδεση με την Earth Berberoka (ή GamblingPuppet), μια ομάδα APT που είναι κυρίως υπεύθυνη για τη στόχευση ιστότοπων gambling στην Κίνα από το 2020. Αυτή η κακόβουλη ομάδα αναπτύσσει κακόβουλο λογισμικό πολλαπλών πλατφορμών, όπως το Pupy RAT και το HelloBot, με σκοπό να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες.
Οι δυνατότητες του κακόβουλου λογισμικού περιλαμβάνουν ένα rootkit σε λειτουργία kernel, το οποίο βασίζεται σε ένα έργο ανοιχτού κώδικα που ονομάζεται Reptile. Το rootkit έχει περιορισμένες δυνατότητες, καθώς εγκαθιστά κυρίως ένα hook που έχει σχεδιαστεί για να παραμένει κρυφό.
Χρησιμοποιώντας shell commands, το implant και το rootkit μπορούν να αναπτυχθούν σε ένα σύστημα. Αυτή η διαδικασία κατεβάζει έναν εγκαταστάτη με ένα προσαρμοσμένο binary πακέτο από έναν remote server. Μόλις γίνει η λήψη, εξάγεται τόσο το rootkit όσο και το server implant module, που βρίσκεται ακόμη σε ενεργά στάδια ανάπτυξης.
Δείτε επίσης: Το πρωτόκολλο DeFi SafeMoon χάνει 8,9 εκατ. δολάρια σε bug exploit
Το κακόβουλο λογισμικό είναι σε θέση να δημιουργήσει μια σύνδεση με έναν remote server και να λαμβάνει εντολές για την εκτέλεση διαφορετικών λειτουργιών, την εκκίνηση ενός shell, τη δημιουργία υποδοχών και την εκτέλεση αυθαίρετων εντολών.
Μετά από ενδελεχή ανάλυση, οι ερευνητές εντόπισαν τρία δείγματα του ίδιου κακόβουλου λογισμικού, η καθεμία με τη δική της ξεχωριστή βάση κώδικα. Αυτά τα δείγματα επέδειξαν σημαντική ανάπτυξη σε τομείς όπως η ανάπτυξη πρωτοκόλλου επικοινωνίας και η βελτίωση της δομής των πακέτων.
Δείτε επίσης: Το νέο toolkit AlienFox κλέβει credentials για 18 υπηρεσίες cloud
Μετά τη διερεύνηση δύο δειγμάτων, η εταιρεία ανακάλυψε ότι το ένα είχε αναγνωριστεί ως 20220111 και 20220308 αντίστοιχα, ενώ το άλλο είχε εκτιμώμενη ημερομηνία που κυμαινόταν από τον Απρίλιο έως τον Μάιο του 2022.
Πηγή πληροφοριών: hackread.com
...){kind=link}