Il malware Linux FontOnLake viene utilizzato in attacchi mirati
Specialisti ESET parlato sul malware FontOnLake, che combina componenti backdoor e rootkit. Il malware è noto per essere utilizzato in attacchi mirati contro organizzazioni nel sud-est asiatico.
Gli esperti scrivono che il primo file relativo a questa famiglia di malware è apparso su VirusTotale nel maggio dell'anno scorso, e altri campioni sono stati caricati durante l'anno. In base a dove sono stati scaricati questi file, i ricercatori hanno concluso che FontOnLake è stato utilizzato principalmente nel sud-est asiatico. Al momento in cui scrivo, tutti i server di controllo del malware erano già stati disabilitati. Ma i ricercatori notano che, generalmente, durante attacchi mirati, gli hacker agiscono in questo modo: il lavoro dell'infrastruttura si interrompe non appena i loro obiettivi sono raggiunti.
È noto che FontOnLake è distribuito tramite applicazioni trojanizzate, ma i ricercatori non sanno come gli aggressori abbiano costretto le loro vittime a scaricare binari modificati. Tra le utilità che l'attaccante ha modificato per fornire FontOnLake c'erano cat, uccisione, sftp, e shd.
Secondo i ricercatori, le utilità trojanizzate sono state probabilmente modificate a livello di codice sorgente, questo è, gli aggressori li hanno compilati e hanno sostituito l'originale.
Anche, i binari modificati fornivano il caricamento di payload aggiuntivi, raccogliere informazioni ed eseguire altre azioni dannose. Il fatto è che FontOnLake ha diversi moduli che interagiscono tra loro e consentono agli hacker di rubare dati riservati, nascondendo efficacemente la loro presenza nel sistema.
Gli esperti hanno anche scoperto tre backdoor personalizzate scritte in C ++ e relativo a FontOnLake. Forniscono agli operatori di malware l'accesso remoto al sistema infetto. Una caratteristica comune a tutte le backdoor è passare le credenziali sshd raccolte e la cronologia dei comandi bash al server di comando e controllo.
La presenza di FontOnLake in un sistema compromesso è mascherata anche da un rootkit, che è anche responsabile dell'aggiornamento e della fornitura di backdoor di backup. Tutti i campioni di rootkit studiati da ESET versioni del kernel mirate 2.6.32-696.el6.x86_64 e 3.10.0-229.el7.X86_64.
Vi ricordo che l'abbiamo anche scritto Gli hacker creano Segnalatore ottico di cobalto per Linux.