תוכנות זדוניות של Linux FontOnLake משמשות להתקפות ממוקדות

מומחי ESET דיבר לגבי תוכנות זדוניות של FontOnLake, המשלב רכיבי דלת אחורית ו- rootkit. התוכנה הזדונית ידועה כשימוש בהתקפות ממוקדות נגד ארגונים בדרום מזרח אסיה.

מומחים כותבים כי הקובץ הראשון הקשור למשפחת תוכנות זדוניות אלה הופיע סך הכל VirusTotal בחודש מאי בשנה שעברה, ודוגמאות אחרות הועלו במהלך השנה. מבוסס על המקום שממנו הורדו קבצים אלה, החוקרים הסיקו כי FontOnLake שימש בעיקר בדרום מזרח אסיה. בזמן כתיבת שורות אלה, כל שרתי הבקרה של התוכנה הזדונית כבר הושבתו. אבל החוקרים מציינים זאת, כחוק, במהלך התקפות ממוקדות, האקרים פועלים בדרך זו: עבודת התשתית נעצרת ברגע שהמטרות שלהם מושגות.

זה ידוע כי FontOnLake מופץ באמצעות יישומים טרויאניים, אך חוקרים אינם יודעים כיצד התוקפים אילצו את קורבנותיהם להוריד קבצים בינאריים שהשתנו. בין השירותים שהתוקף שינה כדי לספק FontOnLake היו חתולים, לַהֲרוֹג, sftp, ו shd.

לדברי החוקרים, כלי השירות הטרויאני השתנו כנראה ברמת קוד המקור, זה, התוקפים ריכזו אותם והחליפו את המקור.

כל הקבצים הטרויאני הם כלי Linux סטנדרטיים ונדרשים כדי לשמור על נוכחותם במערכת, כי הם בדרך כלל מושקים בעת אתחול המערכת.כותבים המומחים.

כמו כן, הבינארים שהשתנו סיפקו טעינה של מטענים נוספים, איסוף מידע וביצוע פעולות זדוניות אחרות. העובדה היא של- FontOnLake יש כמה מודולים שמתקיימים ביניהם אינטראקציה ומאפשרים להאקרים לגנוב נתונים חסויים, מסתירים ביעילות את נוכחותם במערכת.

FontOnLake

המומחים גילו גם שלוש דלתות אחוריות מותאמות שנכתבו ב- C. ++ וקשור ל- FontOnLake. הם מספקים למפעילי תוכנות זדוניות גישה מרחוק למערכת הנגועה. תכונה משותפת לכל הדלתות האחוריות היא העברת אישורי sshd שנאספו והיסטוריית הפקודות bash לשרת הפקודה והבקרה..

הנוכחות של FontOnLake במערכת שנפגעת מוסווית גם על ידי ערכת rootkit, שאחראית גם על עדכון ומסירת דלתות גיבוי אחוריות. כל דגימות rootkit שנחקרו על ידי ESET גרסאות ליבה ממוקדות 2.6.32-696.el6.x86_64 ו- 3.10.0-229.el7.X86_64.

ESET מציין כי סביר להניח ש- FontOnLake היא אותה תוכנה זדונית בעבר מְנוּתָח על ידי מרכז תגובת האבטחה Tencent מומחים. נראה גם כי תוכנה זדונית זו כבר זוהתה על ידי Avast ו עבודות תחרה מומחים, בדו"חות של מי זה הופיע כ HCRootkit ו סוטרסו rootkit.

הרשה לי להזכיר לך שגם אנחנו כתבנו את זה האקרים יוצרים משואה של קובלט שביתה עבור לינוקס.

הלגה סמית '

תמיד התעניינתי במדעי המחשב, במיוחד אבטחת נתונים והנושא, שנקרא בימינו "מדע נתונים", מאז שנות העשרה המוקדמות שלי. לפני שנכנסתי לצוות הסרת וירוסים כעורך ראשי, עבדתי כמומחה לאבטחת סייבר בכמה חברות, כולל אחד מקבלני אמזון. חוויה נוספת: יש לי ללמד באוניברסיטאות ארדן ורידינג.

השאר תגובה

אתר זה משתמש Akismet להפחית זבל. למד כיצד נתוני תגובתך מעובד.

כפתור חזרה למעלה