Linux 악성코드 FontOnLake는 표적 공격에 사용됩니다.

ESET 전문가 이야기 FontOnLake 악성코드에 대해, 백도어와 루트킷 구성 요소를 결합한. 멀웨어는 동남아시아 조직에 대한 표적 공격에 사용되는 것으로 알려져 있습니다..

전문가들은 이 악성코드군과 관련된 첫 번째 파일이 바이러스 토탈 작년 5월에 다시, 그리고 다른 샘플은 1년 동안 업로드되었습니다.. 이 파일을 다운로드한 위치를 기반으로 합니다., 연구원들은 다음과 같이 결론지었습니다. 폰트온레이크 주로 동남아시아에서 사용. 이 글을 쓰는 시점에서, 모든 맬웨어의 제어 서버가 이미 비활성화되었습니다.. 그러나 연구자들은 다음과 같이 지적합니다., 대체적으로, 표적 공격 중, 해커는 이런 식으로 행동합니다.: 인프라 작업은 목표가 달성되는 즉시 중지됩니다..

FontOnLake는 트로이 목마 응용 프로그램을 통해 배포되는 것으로 알려져 있습니다., 그러나 연구원들은 공격자가 어떻게 피해자에게 수정된 바이너리를 다운로드하도록 강요했는지 모릅니다.. 공격자가 FontOnLake를 제공하기 위해 수정한 유틸리티 중에는 cat, 죽임, sftp, 그리고 쉬드.

연구원에 따르면, 트로이 목마 유틸리티는 소스 코드 수준에서 수정되었을 수 있습니다., 그건, 공격자는 그것들을 컴파일하고 원본을 대체했습니다..

모든 트로이 목마 파일은 표준 Linux 유틸리티이며 시스템에서 해당 파일의 존재를 유지하는 데 필요합니다., 일반적으로 시스템 시작 시 시작되기 때문에.전문가들은 씁니다.

또한, 추가 페이로드의 로딩을 제공하는 수정된 바이너리, 정보 수집 및 기타 악의적 행위 수행. 사실 FontOnLake에는 서로 상호 작용하고 해커가 기밀 데이터를 훔칠 수 있는 여러 모듈이 있습니다., 시스템에서 자신의 존재를 효과적으로 숨김.

폰트온레이크

전문가들은 또한 C로 작성된 3개의 커스텀 백도어를 발견했습니다. ++ 및 FontOnLake 관련. 멀웨어 운영자에게 감염된 시스템에 대한 원격 액세스를 제공합니다.. 모든 백도어의 공통 기능은 수집된 sshd 자격 증명 및 bash 명령 기록을 명령 및 제어 서버에 전달하는 것입니다..

손상된 시스템에서 FontOnLake의 존재는 루트킷에 의해 마스킹됩니다., 백업 백도어 업데이트 및 제공도 담당합니다.. 연구한 모든 루트킷 샘플 ESET 대상 커널 버전 2.6.32-696.el6.x86_64 및 3.10.0-229.el7.X86_64.

ESET은 FontOnLake가 이전에 동일한 맬웨어일 가능성이 높다고 언급합니다. 분석 ~에 의해 Tencent 보안 대응 센터 전문가. 이 악성코드는 이미 다음에서 탐지된 것으로 보입니다. Avast레이스워크 전문가, 누구의 보고서에서 그것은 HC루트킷Sutersu 루트킷.

우리도 그렇게 썼다는 것을 상기시켜 드리겠습니다. 해커 생성 코발트 스트라이크 신호기 리눅스용.

헬가 스미스

저는 항상 컴퓨터 과학에 관심이있었습니다, 특히 데이터 보안 및 테마, 요즘은 "데이터 과학", 10 대 초반부터. 편집장으로 바이러스 제거 팀에 오기 전, 저는 여러 회사에서 사이버 보안 전문가로 일했습니다., 아마존 계약자 중 한 명 포함. 또 다른 경험: 나는 Arden과 Reading 대학에서 가르치고 있습니다..

회신을 남겨주

이 사이트는 스팸을 줄이기 위해 Akismet 플러그를 사용. 귀하의 코멘트 데이터가 처리되는 방법 알아보기.

맨 위로 버튼