Çinli APT Kümesi, Mélofée İsimli Rootkit ile Linux Sunucuları Hedefliyor
Çin hükümeti tarafından desteklendiği düşünülen bir APT (Advanced Persistent Threat) kümesi, Linux sunucularını amaç alan yeni bir ziyanlı yazılım kampanyasıyla ortaya çıktı.
2022 yılının başlarında Linux sunuculara yönelik geliştirildiği anlaşılan 3 adet kernel mode rootkit tespit edildi. İlgili rootkitleri tespit eden Fransız siber güvenlik firması EvaTrack, zararlılara Mélofée adını verdi.
Saldırganlar, Reptile isminde açık kaynaklı bir LKM Linux rootkitini kendilerine nazaran düzenleyerek uzak sunucudan yüklemeler ve kendini gizleme yeteneğine sahip yeni bir ziyanlı oluşturdu. Ayrıyeten firma tarafından yapılan tahlillere nazaran Mélofée’nin benzerlerinden rastgele bir farklılığı olmadığı da belirtildi. Muhtemelen saldırganların geliştirdiği yeni bir araç setinin modülü olduğu ve daima operasyonel değişikliklere uğradığı söylenebilir.
Çinli APT kümeleri ile ilişkilendirilmesinin nedeni de teze nazaran Winnti olarak bilinen APT41 ve Çin’de yer alan kumar sitelerini amaç alan Eart Berberoka ile emsal altyapıları kullanıyor olması. Her ikisinin de devlet takviyeli olduğu siber güvenlik firmalarınca sıkça söyleniyor.