Fransız siber güvenlik firması Çinli APT Gruplarıyla Bağlantılı Yeni Linux Kötü Amaçlı Yazılımlarını Ortaya Çıkardı.
Bilinmeyen bir Çin devlet destekli bilgisayar korsanlığı grubu, Linux sunucularına yönelik yeni bir kötü amaçlı yazılım siber saldırısı gerçekleştirmeye başladı.
2022’nin başlarına kadar uzanan daha önce belgelenmiş kötü amaçlı yazılımlardan üç örnek bulan Fransız siber güvenlik firması ExaTrack, buna Mélofée adını verdi.
Yazılımlardan biri, Sürüngen olarak adlandırılan açık kaynaklı bir projeye dayanan çekirdek modu bir rootkit’i hedef almak için tasarlanmıştır.
“Vermagic meta verilerine göre, 5.10.112-108.499 çekirdek sürümü için derlenmiştir.amzn2.x86_64, “dedi şirket bir raporda. “Rootkit, esas olarak kendini gizlemek için tasarlanmış sınırlı bir dizi özelliğe sahiptir.” Hem implant hem de rootkit’in, uzak bir sunucudan bir yükleyici ve özel bir ikili paket indiren kabuk komutları kullanılarak dağıtıldığı söylenir.
Yükleyici, ikili paketi bağımsız değişken olarak alır ve ardından rootkit’i ve şu anda etkin geliştirme aşamasında olan bir sunucu implant modülünü çıkarır.
İlginizi çekebilecek haberimiz:
İlgili Haber: Pakistanlı Siber Korsanlar Hindistan’ı Hedef Aldı
Mélofée’nin özellikleri, türünün diğer arka kapılarından farklı değildir, uzak bir sunucuyla iletişim kurmasını ve dosya işlemlerini gerçekleştirmesine, yuva oluşturmasına, bir kabuk başlatmasına ve isteğe bağlı komutları yürütmesine izin veren talimatlar almasını sağlar.
Kötü amaçlı yazılımın Çin ile bağları, APT41 (diğer adıyla Winnti) ve Earth Berberoka (diğer adıyla GamblingPuppet) gibi gruplarla örtüşen altyapıdan geliyor.
Earth Berberoka, HelloBot ve Pupy RAT gibi çok platformlu kötü amaçlı yazılımlar kullanarak en az 2020’den beri Çin’deki kumar web sitelerini hedefleyen devlet destekli bir aktöre verilen addır.
Trend Micro’ya göre, Piton tabanlı zararlı yazılımın bazı örnekleri rootkit kök kiti kullanılarak gizlenmiştir.
ExaTrack tarafından ayrıca, Mélofée ile kod benzerliklerini paylaşan ve EarthWorm ve socks_proxy gibi halka açık araçlardan yararlanan AlienReverse kod adlı başka bir saldırıda da keşfedildi.Şirket, “Mélofée ailesi, Çin devlet destekli saldırganların cephaneliğinde sürekli yenilik ve gelişme gösteren başka bir araçtır” dedi.
“Mélofée’nin sunduğu yetenekler nispeten basittir, ancak rakiplerin saldırılarını radar altında gerçekleştirmelerini sağlayabilir. Bu yaygın olarak görülmedi ve saldırganların kullanımını muhtemelen yüksek değerli hedeflerle sınırladığını gösterdi.”
Anlaşılan Çinli APT Gruplarıyla bağlantılı saldırılar hiç durmadan devam edeceğe benziyor.
Bu haber The Hacker News üzerinden çevirilmiştir.
İlgili Haber: The Hacker News