Linux malware FontOnLake se používá při cílených útocích
Specialisté společnosti ESET mluvil o malwaru FontOnLake, který kombinuje komponenty backdoor a rootkit. Je známo, že malware je používán při cílených útocích proti organizacím v jihovýchodní Asii.
Odborníci píší, že se objevil první soubor související s touto rodinou malwarů Virus Celkem loni v květnu, a během roku byly nahrány další vzorky. Podle toho, odkud byly tyto soubory staženy, vědci k závěru, že FontOnLake byl primárně používán v jihovýchodní Asii. V době tohoto psaní, všechny řídicí servery malwaru již byly deaktivovány. Vědci to však poznamenávají, jako pravidlo, při cílených útocích, hackeři jednají tímto způsobem: práce infrastruktury se zastaví, jakmile je dosaženo jejich cílů.
Je známo, že FontOnLake je distribuován prostřednictvím trojanizovaných aplikací, vědci ale nevědí, jak útočníci nutili své oběti stahovat upravené binární soubory. Mezi utilitami, které útočník upravil tak, aby poskytovaly FontOnLake, byly kat, zabít, sftp, a shd.
Podle výzkumníků, trojanizované nástroje byly pravděpodobně upraveny na úrovni zdrojového kódu, to je, útočníci je sestavili a nahradili původní.
Taky, upravené binární soubory zajišťovaly načítání dalších užitečných dat, shromažďování informací a provádění dalších škodlivých akcí. Faktem je, že FontOnLake má několik modulů, které na sebe vzájemně působí a umožňují hackerům ukrást důvěrná data, účinně skrývat jejich přítomnost v systému.
Experti také objevili tři vlastní zadní vrátka napsaná v C ++ a související s FontOnLake. Poskytují provozovatelům malwaru vzdálený přístup k infikovanému systému. Společnou funkcí pro všechna zadní vrátka je předání shromážděných přihlašovacích údajů sshd a historie příkazů bash příkazovému a řídicímu serveru.
Přítomnost FontOnLake v kompromitovaném systému je také maskována rootkitem, který je také zodpovědný za aktualizaci a poskytování záložních zadních vrátek. Všechny vzorky rootkitů studovány ESET cílené verze jádra 2.6.32-696.el6.x86_64 a 3.10.0-229.el7.X86_64.
Připomínám, že jsme to také napsali Hackeři vytvářejí Cobalt Strike Beacon pro Linux.