Linux -haittaohjelmia FontOnLake käytetään kohdennetuissa hyökkäyksissä

Helga Smithlokakuu 12, 2021Viimeksi päivitetty: lokakuu 12, 2021
133 1 minuutti luettu

ESET -asiantuntijat puhunut Tietoja FontOnLake -haittaohjelmasta, joka yhdistää takaoven ja rootkit -komponentit. Haittaohjelmaa tiedetään käytettävän kohdennetuissa hyökkäyksissä Kaakkois -Aasian organisaatioita vastaan.

Asiantuntijat kirjoittavat, että ensimmäinen tähän haittaohjelmaperheeseen liittyvä tiedosto ilmestyi VirusTotal viime vuoden toukokuussa, ja muita näytteitä ladattiin vuoden aikana. Sen perusteella, mistä nämä tiedostot on ladattu, tutkijat päättivät, että FontOnLake Käytettiin pääasiassa Kaakkois -Aasiassa. Tämän kirjoituksen aikaan, kaikki haittaohjelmien ohjauspalvelimet oli jo poistettu käytöstä. Mutta tutkijat huomaavat sen, sääntönä, kohdennettujen hyökkäysten aikana, hakkerit toimivat tällä tavalla: infrastruktuurin työ pysähtyy heti, kun tavoitteet saavutetaan.

Tiedetään, että FontOnLake jaetaan troijalaistettujen sovellusten kautta, mutta tutkijat eivät tiedä, kuinka hyökkääjät pakottivat uhrinsa lataamaan muokatut binääritiedostot. Hyödyllisten joukossa, joita hyökkääjä muutti toimittamaan FontOnLaken, olivat kissa, tappaa, sftp, ja shd.

Tutkijoiden mukaan, troijalisia apuohjelmia luultavasti muutettiin lähdekooditasolla, tuo on, hyökkääjät kokosivat ne ja korvasivat alkuperäisen.

Kaikki troijaliset tiedostot ovat Linux -apuohjelmia ja niitä tarvitaan ylläpitämään läsnäoloaan järjestelmässä, koska ne käynnistetään yleensä järjestelmän käynnistyksen yhteydessä.asiantuntijat kirjoittavat.

Myös, muutetut binääritiedostot tarjosivat lisäkuormia, kerää tietoja ja suorittaa muita haitallisia toimia. Tosiasia on, että FontOnLakessa on useita moduuleja, jotka ovat vuorovaikutuksessa keskenään ja joiden avulla hakkerit voivat varastaa luottamuksellisia tietoja, piilottaa tehokkaasti läsnäolonsa järjestelmässä.

FontOnLake

Asiantuntijat löysivät myös kolme mukautettua takaovet kirjoitettu C ++ ja liittyvät FontOnLakeen. Ne tarjoavat haittaohjelmaoperaattoreille etäyhteyden tartunnan saaneeseen järjestelmään. Yhteinen piirre kaikille takaoville on välittää kerätyt sshd -tunnistetiedot ja bash -komentohistoria komento- ja ohjauspalvelimelle.

Juuripaketti peittää myös FontOnLaken läsnäolon vaarantuneessa järjestelmässä, joka vastaa myös varmuuskopioiden takaovien päivittämisestä ja toimittamisesta. Kaikki rootkit -näytteet tutkittu ESET kohdennetut ytimen versiot 2.6.32-696.el6.x86_64 ja 3.10.0-229.el7.X86_64.

ESET toteaa, että FontOnLake on todennäköisesti sama haittaohjelma aiemmin analysoitiin käyttäjältä Tencent Security Response Center asiantuntijat. Näyttää myös siltä, ​​että tämä haittaohjelma on jo havaittu Avast ja Pitsityöt asiantuntijoita, jonka raporteissa se esiintyi nimellä HCRootkit ja Sutersu rootkit.

Muistutan, että kirjoitimme myös sen Hakkerit luovat Cobalt Strike Beacon Linuxille.

Tunnisteet
Helga Smithlokakuu 12, 2021Viimeksi päivitetty: lokakuu 12, 2021
133 1 minuutti luettu

Helga Smith

Olin aina kiinnostunut tietojenkäsittelytieteistä, erityisesti tietoturva ja teema, jota kutsutaan nykyään "datatiede", jo varhaisesta teini-ikäisestäni. Ennen tulemista viruksenpoistotiimiin päätoimittajana, Olen työskennellyt kyberturvallisuuden asiantuntijana useissa yrityksissä, mukaan lukien yksi Amazonin urakoitsijoista. Toinen kokemus: Olen opettanut Ardenin ja Readingin yliopistoissa.

Jätä vastaus

Tämä sivusto käyttää Akismet roskapostin vähentämiseksi. Opi kommenttisi tietoja käsitellään.

Takaisin alkuun-painike