Il malware Linux FontOnLake viene utilizzato in attacchi mirati

Specialisti ESET parlato sul malware FontOnLake, che combina componenti backdoor e rootkit. Il malware è noto per essere utilizzato in attacchi mirati contro organizzazioni nel sud-est asiatico.

Gli esperti scrivono che il primo file relativo a questa famiglia di malware è apparso su VirusTotale nel maggio dell'anno scorso, e altri campioni sono stati caricati durante l'anno. In base a dove sono stati scaricati questi file, i ricercatori hanno concluso che FontOnLake è stato utilizzato principalmente nel sud-est asiatico. Al momento in cui scrivo, tutti i server di controllo del malware erano già stati disabilitati. Ma i ricercatori notano che, generalmente, durante attacchi mirati, gli hacker agiscono in questo modo: il lavoro dell'infrastruttura si interrompe non appena i loro obiettivi sono raggiunti.

È noto che FontOnLake è distribuito tramite applicazioni trojanizzate, ma i ricercatori non sanno come gli aggressori abbiano costretto le loro vittime a scaricare binari modificati. Tra le utilità che l'attaccante ha modificato per fornire FontOnLake c'erano cat, uccisione, sftp, e shd.

Secondo i ricercatori, le utilità trojanizzate sono state probabilmente modificate a livello di codice sorgente, questo è, gli aggressori li hanno compilati e hanno sostituito l'originale.

Tutti i file trojanizzati sono utilità Linux standard e sono necessari per mantenere la loro presenza nel sistema, perché di solito vengono lanciati all'avvio del sistema.scrivono gli esperti.

Anche, i binari modificati fornivano il caricamento di payload aggiuntivi, raccogliere informazioni ed eseguire altre azioni dannose. Il fatto è che FontOnLake ha diversi moduli che interagiscono tra loro e consentono agli hacker di rubare dati riservati, nascondendo efficacemente la loro presenza nel sistema.

FontOnLake

Gli esperti hanno anche scoperto tre backdoor personalizzate scritte in C ++ e relativo a FontOnLake. Forniscono agli operatori di malware l'accesso remoto al sistema infetto. Una caratteristica comune a tutte le backdoor è passare le credenziali sshd raccolte e la cronologia dei comandi bash al server di comando e controllo.

La presenza di FontOnLake in un sistema compromesso è mascherata anche da un rootkit, che è anche responsabile dell'aggiornamento e della fornitura di backdoor di backup. Tutti i campioni di rootkit studiati da ESET versioni del kernel mirate 2.6.32-696.el6.x86_64 e 3.10.0-229.el7.X86_64.

ESET rileva che FontOnLake è molto probabilmente lo stesso malware in precedenza analizzato di Centro di risposta alla sicurezza di Tencent esperti. Sembra anche che questo malware sia già stato rilevato da Avast e merletto specialisti, nei cui rapporti è apparso come il HCRootkit e Sutersu rootkit.

Vi ricordo che l'abbiamo anche scritto Gli hacker creano Segnalatore ottico di cobalto per Linux.

Helga Smith

Sono sempre stato interessato all'informatica, in particolare la sicurezza dei dati e il tema, che si chiama oggi "scienza dei dati", dalla mia prima adolescenza. Prima di entrare nel team di rimozione virus come caporedattore, Ho lavorato come esperto di sicurezza informatica in diverse aziende, incluso uno degli appaltatori di Amazon. Un'altra esperienza: Ho l'insegnamento nelle università di Arden e Reading.

lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come il tuo commento dati vengono elaborati.

Pulsante Torna in alto