Die Linux-Malware FontOnLake wird bei gezielten Angriffen eingesetzt

Helga SmithOktober 12, 2021Letztes Update Oktober 12, 2021
133 1 Minute Lesezeit

ESET-Spezialisten geredet über die FontOnLake-Malware, die Backdoor- und Rootkit-Komponenten kombiniert. Die Malware wird bekanntermaßen bei gezielten Angriffen gegen Organisationen in Südostasien eingesetzt.

Experten schreiben, dass die erste Datei im Zusammenhang mit dieser Malware-Familie auf aufgetaucht ist VirusTotal zurück im Mai letzten Jahres, und andere Proben wurden im Laufe des Jahres hochgeladen. Basierend darauf, wo diese Dateien heruntergeladen wurden, die Forscher kamen zu dem Schluss, dass FontOnLake wurde hauptsächlich in Südostasien verwendet. Zum Zeitpunkt dieses Schreibens, alle Kontrollserver der Malware waren bereits deaktiviert. Aber die Forscher stellen fest, dass, als Regel, bei gezielten Angriffen, Hacker handeln auf diese Weise: die Arbeit der Infrastruktur stoppt, sobald ihre Ziele erreicht sind.

Es ist bekannt, dass FontOnLake über trojanisierte Anwendungen verbreitet wird, aber die Forscher wissen nicht, wie die Angreifer ihre Opfer gezwungen haben, modifizierte Binärdateien herunterzuladen. Zu den Dienstprogrammen, die der Angreifer modifiziert hat, um FontOnLake bereitzustellen, gehörten cat, töten, sftp, und shd.

Laut den Forschern, die trojanisierten Dienstprogramme wurden wahrscheinlich auf Quellcode-Ebene modifiziert, das ist, die Angreifer haben sie zusammengestellt und das Original ersetzt.

Alle trojanisierten Dateien sind Standard-Linux-Dienstprogramme und werden benötigt, um ihre Präsenz im System aufrechtzuerhalten, weil sie normalerweise beim Systemstart gestartet werden.die Experten schreiben.

Ebenfalls, die modifizierten Binärdateien ermöglichten das Laden zusätzlicher Nutzlasten, Sammeln von Informationen und Ausführen anderer bösartiger Aktionen. Tatsache ist, dass FontOnLake mehrere Module hat, die miteinander interagieren und es Hackern ermöglichen, vertrauliche Daten zu stehlen, ihre Präsenz im System effektiv verbergen.

FontOnLake

Die Experten entdeckten auch drei benutzerdefinierte Hintertüren in C ++ und bezogen auf FontOnLake. Sie bieten Malware-Betreibern Fernzugriff auf das infizierte System. Eine gemeinsame Funktion für alle Hintertüren besteht darin, die gesammelten sshd-Anmeldeinformationen und den Bash-Befehlsverlauf an den Befehls- und Kontrollserver zu übergeben.

Das Vorhandensein von FontOnLake in einem kompromittierten System wird ebenfalls durch ein Rootkit maskiert, die auch für die Aktualisierung und Bereitstellung von Backup-Backdoors verantwortlich ist. Alle Rootkit-Beispiele untersucht von ESET Angestrebte Kernel-Versionen 2.6.32-696.el6.x86_64 und 3.10.0-229.el7.X86_64.

ESET stellt fest, dass FontOnLake höchstwahrscheinlich dieselbe Malware wie zuvor ist analysiert von Tencent Security Response Center Experten. Es scheint auch, dass diese Malware bereits erkannt wurde von Avast und Spitzenarbeit Spezialisten, in deren Berichten es als HCRootkit und Sutersu Rootkit.

Lass mich dich daran erinnern, dass wir das auch geschrieben haben Hacker erstellen Kobaltschlag-Leuchtfeuer für Linux.

Schlagwörter
Helga SmithOktober 12, 2021Letztes Update Oktober 12, 2021
133 1 Minute Lesezeit

Helga Smith

Ich habe mich schon immer für Informatik interessiert, insbesondere Datensicherheit und das Thema, das heißt heute "Datenwissenschaft", seit meiner frühen Jugend. Bevor Sie als Chefredakteur in das Virus Removal Team eintreten, Ich habe als Cybersecurity-Experte in mehreren Unternehmen gearbeitet, einschließlich eines der Vertragspartner von Amazon. Eine andere Erfahrung: Ich habe Lehraufträge an den Universitäten Arden und Reading.

Hinterlasse eine Antwort

Diese Seite nutzt Akismet Spam zu reduzieren. Erfahren Sie, wie Sie Ihren Kommentar Daten verarbeitet.

Schaltfläche "Zurück zum Anfang"