Linux malware FontOnLake brukes i målrettede angrep
ESET -spesialister snakket om FontOnLake -skadelig programvare, som kombinerer bakdør- og rootkit -komponenter. Det er kjent at skadelig programvare brukes i målrettede angrep mot organisasjoner i Sørøst -Asia.
Eksperter skriver at den første filen relatert til denne malware -familien dukket opp VirusTotal tilbake i mai i fjor, og andre prøver ble lastet opp i løpet av året. Basert på hvor disse filene ble lastet ned fra, forskerne konkluderte med det FontOnLake ble hovedsakelig brukt i Sørøst -Asia. På tidspunktet for dette skrivet, alle malware -kontrollservere hadde allerede blitt deaktivert. Men forskerne merker det, som en regel, under målrettede angrep, hackere opptrer på denne måten: infrastrukturens arbeid stopper så snart målene er nådd.
Det er kjent at FontOnLake distribueres gjennom trojaniserte applikasjoner, men forskerne vet ikke hvordan angriperne tvang ofrene til å laste ned modifiserte binære filer. Blant verktøyene som angriperen endret for å levere FontOnLake, var cat, drepe, sftp, og shd.
Ifølge forskerne, de trojaniserte verktøyene ble sannsynligvis endret på kildekodenivå, det er, angriperne samlet dem og erstattet originalen.
Også, de modifiserte binærene ga lasting av ekstra nyttelast, samle informasjon og utføre andre ondsinnede handlinger. Faktum er at FontOnLake har flere moduler som samhandler med hverandre og lar hackere stjele konfidensielle data, effektivt skjuler deres tilstedeværelse i systemet.
Ekspertene oppdaget også tre tilpassede bakdører skrevet i C. ++ og relatert til FontOnLake. De gir malware -operatører ekstern tilgang til det infiserte systemet. En felles funksjon for alle bakdører er å overføre de innsamlede sshd -legitimasjonene og bash kommandohistorikken til kommando- og kontrollserveren.
Tilstedeværelsen av FontOnLake i et kompromittert system er også maskert av en rootkit, som også er ansvarlig for oppdatering og levering av backup -bakdører. Alle rootkit -prøver studert av ESET målrettede kjerneversjoner 2.6.32-696.el6.x86_64 og 3.10.0-229.el7.X86_64.
La meg minne deg på at vi også skrev det Hackere lager Cobalt Strike Beacon for Linux.