Le malware Linux FontOnLake est utilisé dans des attaques ciblées

Helga Smithoctobre 12, 2021Dernière mise à jour: octobre 12, 2021
132 Temps de lecture 1 minute

Spécialistes ESET a parlé à propos du malware FontOnLake, qui combine des composants de porte dérobée et de rootkit. Le malware est connu pour être utilisé dans des attaques ciblées contre des organisations en Asie du Sud-Est.

Les experts écrivent que le premier fichier lié à cette famille de logiciels malveillants est apparu sur VirusTotal en mai de l'année dernière, et d'autres échantillons ont été téléchargés au cours de l'année. En fonction de l'endroit où ces fichiers ont été téléchargés, les chercheurs ont conclu que PoliceSurLac a été principalement utilisé en Asie du Sud-Est. Au moment d'écrire ces lignes, tous les serveurs de contrôle du malware avaient déjà été désactivés. Mais les chercheurs notent que, comme règle, lors d'attaques ciblées, les pirates agissent ainsi: le travail de l'infrastructure s'arrête dès que leurs objectifs sont atteints.

On sait que FontOnLake est distribué via des applications cheval de Troie, mais les chercheurs ne savent pas comment les attaquants ont forcé leurs victimes à télécharger des binaires modifiés. Parmi les utilitaires que l'attaquant a modifiés pour livrer FontOnLake, il y avait cat, tuer, sftp, et shd.

Selon les chercheurs, les utilitaires cheval de Troie ont probablement été modifiés au niveau du code source, C'est, les attaquants les ont compilés et ont remplacé l'original.

Tous les fichiers cheval de Troie sont des utilitaires Linux standard et sont nécessaires pour maintenir leur présence dans le système, car ils sont généralement lancés au démarrage du système.les experts écrivent.

Également, les binaires modifiés ont fourni le chargement de charges utiles supplémentaires, collecter des informations et effectuer d'autres actions malveillantes. Le fait est que FontOnLake dispose de plusieurs modules qui interagissent les uns avec les autres et permettent aux pirates de voler des données confidentielles, cachant efficacement leur présence dans le système.

PoliceSurLac

Les experts ont également découvert trois portes dérobées personnalisées écrites en C ++ et liés à FontOnLake. Ils fournissent aux opérateurs de logiciels malveillants un accès à distance au système infecté. Une caractéristique commune à toutes les portes dérobées consiste à transmettre les informations d'identification sshd collectées et l'historique des commandes bash au serveur de commande et de contrôle.

La présence de FontOnLake dans un système compromis est également masquée par un rootkit, qui est également responsable de la mise à jour et de la livraison des backdoors de sauvegarde. Tous les échantillons de rootkits étudiés par ESET versions de noyau ciblées 2.6.32-696.el6.x86_64 et 3.10.0-229.el7.X86_64.

ESET note que FontOnLake est probablement le même malware précédemment analysé par Centre de réponse de sécurité Tencent experts. Il semble également que ce malware ait déjà été détecté par Avast et Dentelle spécialistes, dans les rapports desquels il figurait comme le Kit de démarrage et Sutersu rootkit.

Permettez-moi de vous rappeler que nous avons également écrit que Les pirates créent Balise de frappe au cobalt pour Linux.

Mots clés
Helga Smithoctobre 12, 2021Dernière mise à jour: octobre 12, 2021
132 Temps de lecture 1 minute

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page