LinuxマルウェアFontOnLakeは標的型攻撃で使用されます

ESETスペシャリスト 話しました FontOnLakeマルウェアについて, バックドアとルートキットのコンポーネントを組み合わせたもの. このマルウェアは、東南アジアの組織に対する標的型攻撃で使用されることが知られています.

専門家は、このマルウェアファミリーに関連する最初のファイルがに登場したと書いています VirusTotal 去年の5月に戻って, およびその他のサンプルは、その年の間にアップロードされました. これらのファイルがダウンロードされた場所に基づく, 研究者たちは次のように結論付けました FontOnLake 主に東南アジアで使用されました. この記事の執筆時点, すべてのマルウェアの制御サーバーはすでに無効にされていました. しかし、研究者たちは次のように述べています, 原則として, 標的型攻撃中, ハッカーはこのように行動します: インフラストラクチャの作業は、目標が達成されるとすぐに停止します.

FontOnLakeはトロイの木馬化されたアプリケーションを通じて配布されることが知られています, しかし、研究者は、攻撃者が被害者に変更されたバイナリをダウンロードするように強制した方法を知りません. FontOnLakeを配信するために攻撃者が変更したユーティリティの中にはcatがありました, 殺す, sftp, とshd.

研究者によると, trojanizedユーティリティはおそらくソースコードレベルで変更されました, あれは, 攻撃者はそれらをコンパイルし、元のファイルを置き換えました.

さらに, 変更されたバイナリは、追加のペイロードのロードを提供しました, 情報の収集およびその他の悪意のあるアクションの実行. 事実、FontOnLakeには、相互に作用し、ハッカーが機密データを盗むことを可能にするいくつかのモジュールがあります。, システム内での存在を効果的に隠す.

専門家はまた、Cで書かれた3つのカスタムバックドアを発見しました ++ FontOnLakeに関連しています. マルウェアオペレーターに感染したシステムへのリモートアクセスを提供します. すべてのバックドアに共通の機能は、収集されたsshdクレデンシャルとbashコマンド履歴をコマンドおよび制御サーバーに渡すことです。.

侵害されたシステムでのFontOnLakeの存在も、ルートキットによってマスクされます, バックアップバックドアの更新と配信も担当します. によって研究されたすべてのルートキットサンプル ESET ターゲットカーネルバージョン2.6.32-696.el6.x86_64および3.10.0-229.el7.X86_64.

私たちもそれを書いたことを思い出させてください ハッカーは作成します コバルトストライクビーコン Linux用.