Linux malware FontOnLake bruges i målrettede angreb

Helga Smithoktober 12, 2021Sidst opdateret: oktober 12, 2021
133 1 minuts læsning

ESET -specialister talte om FontOnLake -malware, som kombinerer bagdøre og rootkit -komponenter. Det er kendt, at malware bruges til målrettede angreb mod organisationer i Sydøstasien.

Eksperter skriver, at den første fil relateret til denne malware -familie dukkede op VirusTotal tilbage i maj sidste år, og andre prøver blev uploadet i løbet af året. Baseret på hvor disse filer blev downloadet fra, det konkluderede forskerne FontOnLake blev primært brugt i Sydøstasien. På tidspunktet for denne skrivning, alle malware -kontrolservere var allerede blevet deaktiveret. Men det bemærker forskerne, som regel, under målrettede angreb, hackere handler på denne måde: infrastrukturens arbejde stopper, så snart deres mål er nået.

Det vides, at FontOnLake distribueres gennem trojaniserede applikationer, men forskere ved ikke, hvordan angriberne tvang deres ofre til at downloade modificerede binærfiler. Blandt de værktøjer, som angriberen ændrede for at levere FontOnLake, var kat, dræbe, sftp, og shd.

Ifølge forskerne, de trojaniserede værktøjer blev sandsynligvis ændret på kildekodeniveau, det er, angriberne samlede dem og erstattede originalen.

Alle trojaniserede filer er standard Linux -værktøjer og er nødvendige for at opretholde deres tilstedeværelse i systemet, fordi de normalt lanceres ved systemstart.skriver eksperterne.

Også, de modificerede binærer gav indlæsning af yderligere nyttelast, indsamling af oplysninger og udførelse af andre ondsindede handlinger. Faktum er, at FontOnLake har flere moduler, der interagerer med hinanden og giver hackere mulighed for at stjæle fortrolige data, effektivt skjuler deres tilstedeværelse i systemet.

FontOnLake

Eksperterne opdagede også tre brugerdefinerede bagdøre skrevet i C ++ og relateret til FontOnLake. De giver malware -operatører fjernadgang til det inficerede system. Et fælles træk for alle bagdøre er at videregive de indsamlede sshd -legitimationsoplysninger og bash kommandohistorik til kommando- og kontrolserveren.

Tilstedeværelsen af ​​FontOnLake i et kompromitteret system er også maskeret af et rootkit, som også er ansvarlig for opdatering og levering af backup -bagdøre. Alle rootkit -prøver undersøgt af ESET målrettede kerneversioner 2.6.32-696.el6.x86_64 og 3.10.0-229.el7.X86_64.

ESET bemærker, at FontOnLake sandsynligvis er den samme malware tidligere analyseret ved Tencent Security Response Center eksperter. Det ser også ud til, at denne malware allerede er blevet opdaget af Avast og Lacework specialister, i hvis rapporter det optrådte som HCRootkit og Sutersu rootkit.

Lad mig minde dig om, at vi også skrev det Hackere skaber Cobalt Strike Beacon til Linux.

Mærker
Helga Smithoktober 12, 2021Sidst opdateret: oktober 12, 2021
133 1 minuts læsning

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, inklusive en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap