Um grupo desconhecido de hackers patrocinado pelo estado chinês foi ligado a um novo malware direcionado a servidores Linux.
A empresa francesa de cibersegurança ExaTrack, que encontrou três amostras do software malicioso previamente documentado que datam do início de 2022, apelidou-o de Mélofée.
Um dos artefatos é projetado para deixar um rootkit de modo kernel baseado em um projeto de código aberto chamado Reptile.
"De acordo com os metadados vermagic, ele é compilado para uma versão do kernel 5.10.112-108.499.amzn2.x86_64", disse a empresa em um relatório.
"O rootkit tem um conjunto limitado de recursos, principalmente instalando um gancho projetado para se ocultar."
Tanto o implante quanto o rootkit são distribuídos usando comandos de shell que baixam um instalador e um pacote binário personalizado de um servidor remoto.
O instalador pega o pacote binário como argumento e extrai o rootkit, bem como um módulo de implante de servidor que está atualmente em desenvolvimento ativo.
As características do Mélofée não são diferentes de outras portas dos fundos desse tipo, permitindo que ele entre em contato com um servidor remoto e receba instruções que permitam a ele realizar operações de arquivo, criar soquetes, iniciar um shell e executar comandos arbitrários.
As ligações do malware com a China vêm de sobreposições de infraestrutura com grupos como APT41 (também conhecido como Winnti) e Earth Berberoka (também conhecido como GamblingPuppet).
Earth Berberoka é o nome dado a um ator patrocinado pelo estado que visa principalmente sites de jogos de azar na China desde pelo menos 2020, usando malware multiplataforma como o HelloBot e o Pupy RAT.
De acordo com a Trend Micro, algumas amostras do Pupy RAT baseado em Python foram ocultadas usando o rootkit Reptile.
Também descoberto pelo ExaTrack está outro implante codinome AlienReverse, que compartilha semelhanças de código com o Mélofée e usa ferramentas disponíveis publicamente como EarthWorm e socks_proxy.
"A família de implantes Mélofée é outra ferramenta no arsenal de atacantes patrocinados pelo estado chinês, que mostram constante inovação e desenvolvimento", disse a empresa.
"As capacidades oferecidas pelo Mélofée são relativamente simples, mas podem permitir que adversários conduzam seus ataques sob o radar.
Esses implantes não foram amplamente vistos, mostrando que os atacantes provavelmente estão limitando seu uso a alvos de alto valor."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...