Linux malware FontOnLake er notað í markvissum árásum

Helga Smithoktóber 12, 2021Síðast uppfært: október 12, 2021
1 mínútu lestur

ESET sérfræðingar talaði um FontOnLake spilliforritið, sem sameinar bakdyr og rootkit hluti. Vitað er að spilliforritið er notað í markvissum árásum gegn samtökum í Suðaustur-Asíu.

Sérfræðingar skrifa að fyrsta skráin sem tengist þessari malware fjölskyldu birtist á VirusTotal aftur í maí í fyrra, og önnur sýni voru hlaðið upp á árinu. Byggt á því hvaðan þessar skrár voru sóttar, rannsakendur komust að þeirri niðurstöðu FontOnLake var fyrst og fremst notað í Suðaustur-Asíu. Þegar þetta er skrifað, allir stjórnþjónar spilliforritsins höfðu þegar verið óvirkir. En rannsakendur taka það fram, að jafnaði, við markvissar árásir, tölvuþrjótar haga sér á þennan hátt: vinna innviða stöðvast um leið og markmiðum þeirra er náð.

Það er vitað að FontOnLake er dreift í gegnum trójuforrit, en vísindamenn vita ekki hvernig árásarmennirnir neyddu fórnarlömb sín til að hlaða niður breyttum tvíþættum. Meðal tóla sem árásarmaðurinn breytti til að afhenda FontOnLake voru köttur, drepa, sftp, og shd.

Að sögn rannsakenda, trójutólunum var líklega breytt á frumkóðastigi, það er, árásarmennirnir tóku þær saman og skiptu um frumritið.

Allar tróju-skrár eru venjuleg Linux-tól og eru nauðsynlegar til að viðhalda nærveru þeirra í kerfinu, vegna þess að þeir eru venjulega ræstir við ræsingu kerfisins.skrifa sérfræðingarnir.

Einnig, breyttu tvöfaldarnir veittu hleðslu á viðbótarhleðslu, safna upplýsingum og framkvæma aðrar illgjarnar aðgerðir. Staðreyndin er sú að FontOnLake hefur nokkrar einingar sem hafa samskipti sín á milli og leyfa tölvuþrjótum að stela trúnaðargögnum, fela í raun nærveru sína í kerfinu.

FontOnLake

Sérfræðingarnir uppgötvuðu einnig þrjár sérsniðnar bakdyr skrifaðar í C ++ og tengt FontOnLake. Þeir veita stjórnendum spilliforrita fjaraðgang að sýkta kerfinu. Sameiginlegur eiginleiki fyrir allar bakdyrnar er að senda safnað sshd skilríki og bash skipanasögu til stjórn- og stjórnunarþjónsins.

Tilvist FontOnLake í kerfi sem er í hættu er einnig hulið af rootkit, sem einnig er ábyrgur fyrir uppfærslu og afhendingu bakdyra vara. Öll rootkit sýni rannsakað af ESET miðaðar kjarnaútgáfur 2.6.32-696.el6.x86_64 og 3.10.0-229.el7.X86_64.

ESET tekur fram að FontOnLake sé líklegast sami spilliforritið áður greind af Tencent öryggisviðbragðsmiðstöð sérfræðingar. Svo virðist líka sem þessi spilliforrit hafi þegar fundist af Avast og Lacework sérfræðingum, í skýrslum hvers það birtist sem HCRootkit og Sutersu rótarsett.

Ég minni á að við skrifuðum það líka Tölvuþrjótar búa til Cobalt Strike Beacon fyrir Linux.

Merki
Helga Smithoktóber 12, 2021Síðast uppfært: október 12, 2021
1 mínútu lestur

Helga Smith

Ég hafði alltaf áhuga á tölvunarfræði, sérstaklega gagnaöryggi og þemað, sem heitir nú á dögum "gagnafræði", síðan á unglingsárum mínum. Áður en þú kemur inn í teymið til að fjarlægja veirur sem aðalritstjóri, Ég starfaði sem sérfræðingur í netöryggi í nokkrum fyrirtækjum, including one of Amazon's contractors. Önnur upplifun: Ég hef kennt í Arden og Reading háskólunum.

Skildu eftir skilaboð

Your email address will not be published. Required fields are marked *

Þessi síða notar Akismet til að draga úr ruslpósti. Lærðu hvernig ummælagögnin þín eru unnin.

Aftur efst á hnappinn