Linux-malware FontOnLake wordt gebruikt bij gerichte aanvallen
ESET-specialisten gepraat over de FontOnLake-malware, die backdoor- en rootkit-componenten combineert. Het is bekend dat de malware wordt gebruikt bij gerichte aanvallen op organisaties in Zuidoost-Azië.
Experts schrijven dat het eerste bestand met betrekking tot deze malwarefamilie verscheen op VirusTotaal terug in mei vorig jaar, en andere voorbeelden zijn in de loop van het jaar geüpload. Op basis van waar deze bestanden vandaan zijn gedownload, de onderzoekers concludeerden dat LettertypeOnLake werd voornamelijk gebruikt in Zuidoost-Azië. Op het moment van dit schrijven, alle controleservers van de malware waren al uitgeschakeld. Maar de onderzoekers merken op dat, als een regel, tijdens gerichte aanvallen, hackers handelen op deze manier: het werk van de infrastructuur stopt zodra hun doelen zijn bereikt.
Het is bekend dat FontOnLake wordt gedistribueerd via trojan-applicaties, maar onderzoekers weten niet hoe de aanvallers hun slachtoffers dwongen om gewijzigde binaire bestanden te downloaden. Onder de hulpprogramma's die de aanvaller heeft aangepast om FontOnLake te leveren, waren cat, doden, sftp, en shd.
Volgens de onderzoekers, de getrojaniseerde hulpprogramma's zijn waarschijnlijk gewijzigd op broncodeniveau, dat is, de aanvallers hebben ze gecompileerd en het origineel vervangen.
Ook, de gewijzigde binaire bestanden zorgden voor het laden van extra ladingen, het verzamelen van informatie en het uitvoeren van andere kwaadaardige acties. Feit is dat FontOnLake verschillende modules heeft die met elkaar communiceren en hackers in staat stellen vertrouwelijke gegevens te stelen, hun aanwezigheid in het systeem effectief verbergen.
De experts ontdekten ook drie aangepaste achterdeuren geschreven in C ++ en gerelateerd aan FontOnLake. Ze bieden malware-operators externe toegang tot het geïnfecteerde systeem. Een algemene functie voor alle achterdeuren is om de verzamelde sshd-referenties en bash-opdrachtgeschiedenis door te geven aan de opdracht- en controleserver.
De aanwezigheid van FontOnLake in een gecompromitteerd systeem wordt ook gemaskeerd door een rootkit, die ook verantwoordelijk is voor het updaten en leveren van backdoors voor back-ups. Alle rootkit-samples bestudeerd door ESET gerichte kernelversies 2.6.32-696.el6.x86_64 en 3.10.0-229.el7.X86_64.
Laat me je eraan herinneren dat we dat ook schreven Hackers creëren Kobalt Strike Beacon voor Linux.