Linux 악성코드 FontOnLake는 표적 공격에 사용됩니다.
ESET 전문가 이야기 FontOnLake 악성코드에 대해, 백도어와 루트킷 구성 요소를 결합한. 멀웨어는 동남아시아 조직에 대한 표적 공격에 사용되는 것으로 알려져 있습니다..
전문가들은 이 악성코드군과 관련된 첫 번째 파일이 바이러스 토탈 작년 5월에 다시, 그리고 다른 샘플은 1년 동안 업로드되었습니다.. 이 파일을 다운로드한 위치를 기반으로 합니다., 연구원들은 다음과 같이 결론지었습니다. 폰트온레이크 주로 동남아시아에서 사용. 이 글을 쓰는 시점에서, 모든 맬웨어의 제어 서버가 이미 비활성화되었습니다.. 그러나 연구자들은 다음과 같이 지적합니다., 대체적으로, 표적 공격 중, 해커는 이런 식으로 행동합니다.: 인프라 작업은 목표가 달성되는 즉시 중지됩니다..
FontOnLake는 트로이 목마 응용 프로그램을 통해 배포되는 것으로 알려져 있습니다., 그러나 연구원들은 공격자가 어떻게 피해자에게 수정된 바이너리를 다운로드하도록 강요했는지 모릅니다.. 공격자가 FontOnLake를 제공하기 위해 수정한 유틸리티 중에는 cat, 죽임, sftp, 그리고 쉬드.
연구원에 따르면, 트로이 목마 유틸리티는 소스 코드 수준에서 수정되었을 수 있습니다., 그건, 공격자는 그것들을 컴파일하고 원본을 대체했습니다..
또한, 추가 페이로드의 로딩을 제공하는 수정된 바이너리, 정보 수집 및 기타 악의적 행위 수행. 사실 FontOnLake에는 서로 상호 작용하고 해커가 기밀 데이터를 훔칠 수 있는 여러 모듈이 있습니다., 시스템에서 자신의 존재를 효과적으로 숨김.
전문가들은 또한 C로 작성된 3개의 커스텀 백도어를 발견했습니다. ++ 및 FontOnLake 관련. 멀웨어 운영자에게 감염된 시스템에 대한 원격 액세스를 제공합니다.. 모든 백도어의 공통 기능은 수집된 sshd 자격 증명 및 bash 명령 기록을 명령 및 제어 서버에 전달하는 것입니다..
손상된 시스템에서 FontOnLake의 존재는 루트킷에 의해 마스킹됩니다., 백업 백도어 업데이트 및 제공도 담당합니다.. 연구한 모든 루트킷 샘플 ESET 대상 커널 버전 2.6.32-696.el6.x86_64 및 3.10.0-229.el7.X86_64.
우리도 그렇게 썼다는 것을 상기시켜 드리겠습니다. 해커 생성 코발트 스트라이크 신호기 리눅스용.