Ngày 29 tháng 3 năm 2023Ravie LakshmananLinux / Mối đe dọa mạng
Một nhóm tin tặc không xác định do nhà nước Trung Quốc tài trợ đã được liên kết với một phần mềm độc hại mới nhằm vào các máy chủ Linux.
Công ty an ninh mạng ExaTrack của Pháp, đã tìm thấy ba mẫu phần mềm độc hại được ghi nhận trước đây có từ đầu năm 2022, đã đặt tên cho nó là Mélofee.
Một trong những đồ tạo tác được thiết kế để loại bỏ một rootkit chế độ nhân dựa trên một dự án mã nguồn mở được gọi là Reptile.
“Theo siêu dữ liệu vermagic, nó được biên dịch cho phiên bản kernel 5.10.112-108.499.amzn2.x86_64,” công ty cho biết trong một báo cáo. “Rootkit có một số tính năng hạn chế, chủ yếu là cài đặt một cái móc được thiết kế để ẩn mình.”
Cả bộ cấy ghép và rootkit được cho là sẽ được triển khai bằng cách sử dụng các lệnh shell để tải xuống trình cài đặt và gói nhị phân tùy chỉnh từ một máy chủ từ xa.
Trình cài đặt lấy gói nhị phân làm đối số và sau đó trích xuất rootkit cũng như mô-đun cấy ghép máy chủ hiện đang được phát triển tích cực.
Các tính năng của Mélofée không khác với các cửa hậu khác cùng loại, cho phép nó liên hệ với một máy chủ từ xa và nhận các hướng dẫn cho phép nó thực hiện các thao tác với tệp, tạo ổ cắm, khởi chạy shell và thực thi các lệnh tùy ý.
Mối quan hệ của phần mềm độc hại với Trung Quốc đến từ sự chồng chéo cơ sở hạ tầng với các nhóm như APT41 (còn gọi là Winnti) và Earth Berberoka (còn gọi là GamblingPuppet).
Earth Berberoka là tên được đặt cho một diễn viên được nhà nước tài trợ chủ yếu nhắm mục tiêu vào các trang web cờ bạc ở Trung Quốc ít nhất là từ năm 2020 bằng cách sử dụng phần mềm độc hại đa nền tảng như HelloBot và Pupy RAT.
Theo Trend Micro, một số mẫu Pupy RAT dựa trên python đã được che giấu bằng rootkit Reptile.
ExaTrack cũng phát hiện ra một bộ cấy ghép khác có tên mã là AlienReverse, chia sẻ những điểm tương đồng về mã với Mélofée và sử dụng các công cụ có sẵn công khai như EarthWorm và socks_proxy.
Công ty cho biết: “Dòng sản phẩm cấy ghép Mélofée là một công cụ khác trong kho vũ khí của những kẻ tấn công do nhà nước Trung Quốc tài trợ, cho thấy sự đổi mới và phát triển không ngừng”.
“Các khả năng do Mélofée cung cấp tương đối đơn giản, nhưng có thể cho phép kẻ thù tiến hành các cuộc tấn công của họ dưới tầm ngắm. Những thiết bị cấy ghép này không được nhìn thấy rộng rãi, cho thấy rằng những kẻ tấn công có khả năng hạn chế sử dụng nó cho các mục tiêu có giá trị cao.”
