Linux-malware FontOnLake wordt gebruikt bij gerichte aanvallen

ESET-specialisten gepraat over de FontOnLake-malware, die backdoor- en rootkit-componenten combineert. Het is bekend dat de malware wordt gebruikt bij gerichte aanvallen op organisaties in Zuidoost-Azië.

Experts schrijven dat het eerste bestand met betrekking tot deze malwarefamilie verscheen op VirusTotaal terug in mei vorig jaar, en andere voorbeelden zijn in de loop van het jaar geüpload. Op basis van waar deze bestanden vandaan zijn gedownload, de onderzoekers concludeerden dat LettertypeOnLake werd voornamelijk gebruikt in Zuidoost-Azië. Op het moment van dit schrijven, alle controleservers van de malware waren al uitgeschakeld. Maar de onderzoekers merken op dat, als een regel, tijdens gerichte aanvallen, hackers handelen op deze manier: het werk van de infrastructuur stopt zodra hun doelen zijn bereikt.

Het is bekend dat FontOnLake wordt gedistribueerd via trojan-applicaties, maar onderzoekers weten niet hoe de aanvallers hun slachtoffers dwongen om gewijzigde binaire bestanden te downloaden. Onder de hulpprogramma's die de aanvaller heeft aangepast om FontOnLake te leveren, waren cat, doden, sftp, en shd.

Volgens de onderzoekers, de getrojaniseerde hulpprogramma's zijn waarschijnlijk gewijzigd op broncodeniveau, dat is, de aanvallers hebben ze gecompileerd en het origineel vervangen.

Alle trojan-bestanden zijn standaard Linux-hulpprogramma's en zijn nodig om hun aanwezigheid in het systeem te behouden, omdat ze meestal worden gestart bij het opstarten van het systeem.de experts schrijven.

Ook, de gewijzigde binaire bestanden zorgden voor het laden van extra ladingen, het verzamelen van informatie en het uitvoeren van andere kwaadaardige acties. Feit is dat FontOnLake verschillende modules heeft die met elkaar communiceren en hackers in staat stellen vertrouwelijke gegevens te stelen, hun aanwezigheid in het systeem effectief verbergen.

LettertypeOnLake

De experts ontdekten ook drie aangepaste achterdeuren geschreven in C ++ en gerelateerd aan FontOnLake. Ze bieden malware-operators externe toegang tot het geïnfecteerde systeem. Een algemene functie voor alle achterdeuren is om de verzamelde sshd-referenties en bash-opdrachtgeschiedenis door te geven aan de opdracht- en controleserver.

De aanwezigheid van FontOnLake in een gecompromitteerd systeem wordt ook gemaskeerd door een rootkit, die ook verantwoordelijk is voor het updaten en leveren van backdoors voor back-ups. Alle rootkit-samples bestudeerd door ESET gerichte kernelversies 2.6.32-696.el6.x86_64 en 3.10.0-229.el7.X86_64.

ESET merkt op dat FontOnLake waarschijnlijk eerder dezelfde malware is geanalyseerd door Tencent Security Response Center experts. Het lijkt er ook op dat deze malware al is gedetecteerd door Avast en kantwerk specialisten, in wiens rapporten het verscheen als de HCRootkit en Sutersu rootkit.

Laat me je eraan herinneren dat we dat ook schreven Hackers creëren Kobalt Strike Beacon voor Linux.

Helga Smith

Ik was altijd al geïnteresseerd in informatica, vooral gegevensbeveiliging en het thema, die tegenwoordig heet "datawetenschap", sinds mijn vroege tienerjaren. Voordat je als hoofdredacteur bij het Virus Removal-team komt, Ik heb bij verschillende bedrijven als cybersecurity-expert gewerkt, waaronder een van Amazon's aannemers. Nog een ervaring: Ik heb les aan de universiteiten van Arden en Reading.

Laat een antwoord achter

Deze website maakt gebruik van Akismet om spam te verminderen. Leer hoe je reactie gegevens worden verwerkt.

Terug naar boven knop