Linux malware FontOnLake brukes i målrettede angrep

ESET -spesialister snakket om FontOnLake -skadelig programvare, som kombinerer bakdør- og rootkit -komponenter. Det er kjent at skadelig programvare brukes i målrettede angrep mot organisasjoner i Sørøst -Asia.

Eksperter skriver at den første filen relatert til denne malware -familien dukket opp VirusTotal tilbake i mai i fjor, og andre prøver ble lastet opp i løpet av året. Basert på hvor disse filene ble lastet ned fra, forskerne konkluderte med det FontOnLake ble hovedsakelig brukt i Sørøst -Asia. På tidspunktet for dette skrivet, alle malware -kontrollservere hadde allerede blitt deaktivert. Men forskerne merker det, som en regel, under målrettede angrep, hackere opptrer på denne måten: infrastrukturens arbeid stopper så snart målene er nådd.

Det er kjent at FontOnLake distribueres gjennom trojaniserte applikasjoner, men forskerne vet ikke hvordan angriperne tvang ofrene til å laste ned modifiserte binære filer. Blant verktøyene som angriperen endret for å levere FontOnLake, var cat, drepe, sftp, og shd.

Ifølge forskerne, de trojaniserte verktøyene ble sannsynligvis endret på kildekodenivå, det er, angriperne samlet dem og erstattet originalen.

Alle trojaniserte filer er standard Linux -verktøy og er nødvendige for å opprettholde sin tilstedeværelse i systemet, fordi de vanligvis lanseres ved systemoppstart.skriver ekspertene.

Også, de modifiserte binærene ga lasting av ekstra nyttelast, samle informasjon og utføre andre ondsinnede handlinger. Faktum er at FontOnLake har flere moduler som samhandler med hverandre og lar hackere stjele konfidensielle data, effektivt skjuler deres tilstedeværelse i systemet.

FontOnLake

Ekspertene oppdaget også tre tilpassede bakdører skrevet i C. ++ og relatert til FontOnLake. De gir malware -operatører ekstern tilgang til det infiserte systemet. En felles funksjon for alle bakdører er å overføre de innsamlede sshd -legitimasjonene og bash kommandohistorikken til kommando- og kontrollserveren.

Tilstedeværelsen av FontOnLake i et kompromittert system er også maskert av en rootkit, som også er ansvarlig for oppdatering og levering av backup -bakdører. Alle rootkit -prøver studert av ESET målrettede kjerneversjoner 2.6.32-696.el6.x86_64 og 3.10.0-229.el7.X86_64.

ESET bemerker at FontOnLake mest sannsynlig er den samme skadelige programvaren tidligere analysert av Tencent Security Response Center eksperter. Det ser også ut til at denne malware allerede har blitt oppdaget av Avast og Lacework spesialister, i hvis rapporter det dukket opp som HCRootkit og Sutersu rootkit.

La meg minne deg på at vi også skrev det Hackere lager Cobalt Strike Beacon for Linux.

Helga Smith

Jeg var alltid interessert i datavitenskap, spesielt datasikkerhet og temaet, som kalles i våre dager "datavitenskap", siden min tidlige tenåring. Før du kommer inn i Virusfjerningsteamet som sjefredaktør, Jeg jobbet som cybersikkerhetsekspert i flere selskaper, inkludert en av Amazons entreprenører. Nok en opplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Legg igjen et svar

Denne siden bruker Akismet å redusere spam. Lær hvordan din kommentar data behandles.

Tilbake til toppen