Linux malware FontOnLake se používá při cílených útocích

Helga Smithříjen 12, 2021Naposledy aktualizováno: říjen 12, 2021
132 1 minutové čtení

Specialisté společnosti ESET mluvil o malwaru FontOnLake, který kombinuje komponenty backdoor a rootkit. Je známo, že malware je používán při cílených útocích proti organizacím v jihovýchodní Asii.

Odborníci píší, že se objevil první soubor související s touto rodinou malwarů Virus Celkem loni v květnu, a během roku byly nahrány další vzorky. Podle toho, odkud byly tyto soubory staženy, vědci k závěru, že FontOnLake byl primárně používán v jihovýchodní Asii. V době tohoto psaní, všechny řídicí servery malwaru již byly deaktivovány. Vědci to však poznamenávají, jako pravidlo, při cílených útocích, hackeři jednají tímto způsobem: práce infrastruktury se zastaví, jakmile je dosaženo jejich cílů.

Je známo, že FontOnLake je distribuován prostřednictvím trojanizovaných aplikací, vědci ale nevědí, jak útočníci nutili své oběti stahovat upravené binární soubory. Mezi utilitami, které útočník upravil tak, aby poskytovaly FontOnLake, byly kat, zabít, sftp, a shd.

Podle výzkumníků, trojanizované nástroje byly pravděpodobně upraveny na úrovni zdrojového kódu, to je, útočníci je sestavili a nahradili původní.

Všechny trojanizované soubory jsou standardní nástroje Linux a jsou potřebné k udržení jejich přítomnosti v systému, protože jsou obvykle spuštěny při spuštění systému.píší odborníci.

Taky, upravené binární soubory zajišťovaly načítání dalších užitečných dat, shromažďování informací a provádění dalších škodlivých akcí. Faktem je, že FontOnLake má několik modulů, které na sebe vzájemně působí a umožňují hackerům ukrást důvěrná data, účinně skrývat jejich přítomnost v systému.

FontOnLake

Experti také objevili tři vlastní zadní vrátka napsaná v C ++ a související s FontOnLake. Poskytují provozovatelům malwaru vzdálený přístup k infikovanému systému. Společnou funkcí pro všechna zadní vrátka je předání shromážděných přihlašovacích údajů sshd a historie příkazů bash příkazovému a řídicímu serveru.

Přítomnost FontOnLake v kompromitovaném systému je také maskována rootkitem, který je také zodpovědný za aktualizaci a poskytování záložních zadních vrátek. Všechny vzorky rootkitů studovány ESET cílené verze jádra 2.6.32-696.el6.x86_64 a 3.10.0-229.el7.X86_64.

ESET poznamenává, že FontOnLake je s největší pravděpodobností stejný malware dříve analyzovány podle Centrum odezvy zabezpečení Tencent experti. Zdá se také, že tento malware již byl detekován Avast a Krajka specialisté, v jehož zprávách to vypadalo jako HCRootkit a Sutersu rootkit.

Připomínám, že jsme to také napsali Hackeři vytvářejí Cobalt Strike Beacon pro Linux.

Značky
Helga Smithříjen 12, 2021Naposledy aktualizováno: říjen 12, 2021
132 1 minutové čtení

Helga Smith

Vždy mě zajímaly počítačové vědy, zejména zabezpečení dat a téma, kterému se dnes říká "datová věda", od mých raných dospívajících. Před příchodem do týmu pro odstranění virů jako šéfredaktor, Pracoval jsem jako odborník na kybernetickou bezpečnost v několika společnostech, včetně jednoho z dodavatelů Amazonu. Další zkušenost: Mám výuku na univerzitách Arden a Reading.

zanechte odpověď

Tato stránka používá Akismet snížit spam. Přečtěte si, jak se váš komentář údaje zpracovávány.

Tlačítko Zpět nahoru