Το κακόβουλο λογισμικό Linux FontOnLake χρησιμοποιείται σε στοχευμένες επιθέσεις

Helga SmithΟκτώβριος 12, 2021Τελευταία ενημέρωση: Οκτώβριος 12, 2021
132 1 λεπτό διάβασμα

Ειδικοί της ESET μίλησε σχετικά με το κακόβουλο λογισμικό FontOnLake, που συνδυάζει στοιχεία backdoor και rootkit. Το κακόβουλο λογισμικό είναι γνωστό ότι χρησιμοποιείται σε στοχευμένες επιθέσεις εναντίον οργανισμών στη Νοτιοανατολική Ασία.

Οι ειδικοί γράφουν ότι εμφανίστηκε το πρώτο αρχείο που σχετίζεται με αυτήν την οικογένεια κακόβουλων προγραμμάτων VirusTotal τον περασμένο Μάιο, και άλλα δείγματα ανέβηκαν κατά τη διάρκεια του έτους. Με βάση το πού έχουν γίνει λήψη αυτών των αρχείων, οι ερευνητές κατέληξαν στο συμπέρασμα ότι FontOnLake χρησιμοποιήθηκε κυρίως στη Νοτιοανατολική Ασία. Τη στιγμή που γράφτηκε αυτό, όλοι οι διακομιστές ελέγχου του κακόβουλου λογισμικού είχαν ήδη απενεργοποιηθεί. Αλλά οι ερευνητές το σημειώνουν, ως κανονας, κατά τη διάρκεια στοχευμένων επιθέσεων, οι χάκερ ενεργούν με αυτόν τον τρόπο: το έργο της υποδομής σταματά μόλις επιτευχθούν οι στόχοι τους.

Είναι γνωστό ότι το FontOnLake διανέμεται μέσω trojanized εφαρμογών, αλλά οι ερευνητές δεν γνωρίζουν πώς οι επιτιθέμενοι ανάγκασαν τα θύματά τους να κατεβάσουν τροποποιημένα δυαδικά αρχεία. Μεταξύ των βοηθητικών προγραμμάτων που τροποποίησε ο εισβολέας για να παραδώσει το FontOnLake ήταν το cat, σκοτώνω, sftp, και shd.

Σύμφωνα με τους ερευνητές, τα trojanized βοηθητικά προγράμματα πιθανώς τροποποιήθηκαν σε επίπεδο πηγαίου κώδικα, αυτό είναι, οι επιτιθέμενοι τα συνέταξαν και αντικατέστησαν το πρωτότυπο.

Όλα τα trojanized αρχεία είναι τυπικά βοηθητικά προγράμματα Linux και χρειάζονται για να διατηρήσουν την παρουσία τους στο σύστημα, επειδή συνήθως ξεκινούν κατά την εκκίνηση του συστήματος.γράφουν οι ειδικοί.

Επίσης, τα τροποποιημένα δυαδικά παρείχαν φόρτωση πρόσθετου ωφέλιμου φορτίου, συλλογή πληροφοριών και εκτέλεση άλλων κακόβουλων ενεργειών. Το γεγονός είναι ότι το FontOnLake έχει πολλές ενότητες που αλληλεπιδρούν μεταξύ τους και επιτρέπουν στους χάκερ να κλέψουν εμπιστευτικά δεδομένα, αποκρύπτουν αποτελεσματικά την παρουσία τους στο σύστημα.

FontOnLake

Οι ειδικοί ανακάλυψαν επίσης τρεις προσαρμοσμένες πίσω πόρτες γραμμένες σε Γ ++ και σχετίζονται με το FontOnLake. Παρέχουν στους χειριστές κακόβουλου λογισμικού απομακρυσμένη πρόσβαση στο μολυσμένο σύστημα. Ένα κοινό χαρακτηριστικό για όλα τα backdoors είναι να περάσουν τα διαπιστευτήρια sshd που έχουν συλλεχθεί και το ιστορικό εντολών bash στον διακομιστή εντολών και ελέγχου.

Η παρουσία του FontOnLake σε ένα συμβιβασμένο σύστημα καλύπτεται επίσης από ένα rootkit, το οποίο είναι επίσης υπεύθυνο για την ενημέρωση και την παράδοση εφεδρικών backdoors. Όλα τα δείγματα rootkit μελετήθηκαν από ESET στοχευμένες εκδόσεις πυρήνα 2.6.32-696.el6.x86_64 και 3.10.0-229.el7.X86_64.

Η ESET σημειώνει ότι το FontOnLake είναι πιθανότατα το ίδιο κακόβουλο λογισμικό στο παρελθόν αναλύθηκε με Tencent Security Response Center εμπειρογνώμονες. Φαίνεται επίσης ότι αυτό το κακόβουλο λογισμικό έχει ήδη εντοπιστεί από Avast και Δαντελένια ειδικούς, στις αναφορές των οποίων εμφανίστηκε ως το HCRootkit και Σούτερσου rootkit.

Επιτρέψτε μου να σας υπενθυμίσω ότι το γράψαμε και αυτό Οι χάκερ δημιουργούν Cobalt Strike Beacon για Linux.

Ετικέτες
Helga SmithΟκτώβριος 12, 2021Τελευταία ενημέρωση: Οκτώβριος 12, 2021
132 1 λεπτό διάβασμα

Helga Smith

Ενδιαφέρομαι πάντα για τις επιστήμες των υπολογιστών, ειδικά την ασφάλεια δεδομένων και το θέμα, που ονομάζεται σήμερα "επιστημονικά δεδομένα", από τα πρώτα μου χρόνια. Πριν μπείτε στην ομάδα κατάργησης ιών ως αρχισυντάκτης, Εργάστηκα ως ειδικός στον τομέα της ασφάλειας στον κυβερνοχώρο σε πολλές εταιρείες, συμπεριλαμβανομένου ενός από τους εργολάβους της Amazon. Μια άλλη εμπειρία: Έχω διδάξει σε πανεπιστήμια Arden και Reading.

Αφήστε μια απάντηση

Αυτό το site χρησιμοποιεί Akismet να μειώσει το spam. Μάθετε πώς γίνεται επεξεργασία των δεδομένων σας σχόλιο.

Κουμπί Επιστροφή στην κορυφή