Mélofée: Para peneliti menemukan malware Linux baru yang ditautkan ke grup APT China

idNSA.id - Grup peretas yang didukung negara Tiongkok yang tidak dikenal telah ditautkan ke malware baru yang menargetkan server Linux.

Perusahaan keamanan siber Prancis ExaTrack, yang menemukan tiga pola malware 2022 yang didokumentasikan sebelumnya, menjulukinya Mélofée.

Salah satu artefak dirancang untuk menghapus rootkit mode kernel berdasarkan proyek sumber terbuka yang disebut Reptil.

"Menurut metadata Vermagic, itu dikompilasi untuk versi kernel 5.10.112-108.499.amzn2.x86_64," kata perusahaan itu dalam sebuah laporan. "Rootkit memiliki serangkaian fungsi terbatas, yang paling menonjol adalah memasang pengait yang dirancang untuk bersembunyi."

Baik implan dan rootkit dikatakan digunakan melalui perintah shell yang mengunduh penginstal dan paket biner khusus dari server jarak jauh.

Penginstal mengambil paket biner sebagai argumen dan kemudian membongkar paket rootkit dan modul instalasi server yang saat ini sedang dalam pengembangan aktif.

Kemampuan Mélofé tidak berbeda dengan pintu belakang serupa lainnya, memungkinkannya untuk menghubungi server jarak jauh dan menerima instruksi yang memungkinkannya melakukan operasi file, membuat soket, memulai port shell, dan menjalankan perintah arbitrer.

Hubungan malware dengan China berasal dari infrastrukturnya yang tumpang tindih dengan APT41 (alias Winnti) dan Earth Berberoka (alias GamblingPuppet).

Earth Berberoka adalah nama aktor yang didukung negara yang terutama menargetkan situs perjudian di China dengan malware lintas platform seperti HelloBot dan Pupy RAT setidaknya sejak tahun 2020.

Menurut Trend Micro, beberapa sampel Pupy RAT berbasis Python disembunyikan oleh rootkit Reptil. 

Penginstal mengambil paket biner sebagai argumen dan kemudian membuka paket rootkit dan modul instalasi server yang saat ini sedang dalam pengembangan aktif.

Kemampuan Mélofé tidak berbeda dengan pintu belakang serupa lainnya, memungkinkannya untuk menghubungi server jarak jauh dan menerima instruksi yang memungkinkannya melakukan operasi file, membuat soket, memulai port shell, dan menjalankan perintah arbitrer.

Hubungan malware dengan China berasal dari infrastrukturnya yang tumpang tindih dengan APT41 (alias Winnti) dan Earth Berberoka (alias GamblingPuppet).

Earth Berberoka adalah nama aktor yang didukung negara yang terutama menargetkan situs perjudian di China dengan malware lintas platform seperti HelloBot dan Pupy RAT setidaknya sejak tahun 2020.

Menurut Trend Micro, rootkit Reptil menyembunyikan beberapa sampel Pupy RAT berbasis Python.