Złośliwe oprogramowanie dla Linuksa FontOnLake jest wykorzystywane w atakach ukierunkowanych

Helga Smithpaździernik 12, 2021Ostatnio zaktualizowany: październik 12, 2021
133 1 minuta przeczytania

Specjaliści ESET rozmawiałem o złośliwym oprogramowaniu FontOnLake, który łączy komponenty backdoora i rootkita. Wiadomo, że złośliwe oprogramowanie jest wykorzystywane w atakach ukierunkowanych na organizacje w Azji Południowo-Wschodniej.

Eksperci piszą, że pierwszy plik związany z tą rodziną złośliwego oprogramowania pojawił się na Wirus Suma z powrotem w maju zeszłego roku, a inne próbki zostały przesłane w ciągu roku. Na podstawie tego, skąd te pliki zostały pobrane, naukowcy doszli do wniosku, że CzcionkaNaJeziorze był używany głównie w Azji Południowo-Wschodniej. W momencie pisania tego tekstu, wszystkie serwery kontrolne szkodliwego oprogramowania zostały już wyłączone. Ale naukowcy zauważają, że, z zasady, podczas ataków ukierunkowanych, hakerzy działają w ten sposób: praca infrastruktury zatrzymuje się, gdy tylko zostaną osiągnięte ich cele.

Wiadomo, że FontOnLake jest dystrybuowany za pośrednictwem strojanizowanych aplikacji, ale badacze nie wiedzą, w jaki sposób napastnicy zmusili swoje ofiary do pobrania zmodyfikowanych plików binarnych. Wśród narzędzi, które atakujący zmodyfikował w celu dostarczenia FontOnLake, znalazły się cat, zabić, sftp, i shd.

Według badaczy, strojanizowane narzędzia zostały prawdopodobnie zmodyfikowane na poziomie kodu źródłowego, to jest, atakujący je skompilowali i zastąpili oryginał.

Wszystkie pliki strojanizowane są standardowymi narzędziami Linuksa i są potrzebne do utrzymania ich obecności w systemie, ponieważ zazwyczaj są uruchamiane przy starcie systemu.eksperci piszą.

Również, zmodyfikowane pliki binarne zapewniały ładowanie dodatkowych ładunków, zbieranie informacji i wykonywanie innych złośliwych działań. Faktem jest, że FontOnLake ma kilka modułów, które współdziałają ze sobą i umożliwiają hakerom kradzież poufnych danych, skutecznie ukrywa swoją obecność w systemie.

CzcionkaNaJeziorze

Eksperci odkryli również trzy niestandardowe backdoory napisane w języku C ++ i związane z FontOnLake. Zapewniają operatorom szkodliwego oprogramowania zdalny dostęp do zainfekowanego systemu. Wspólną cechą wszystkich backdoorów jest przekazywanie zebranych danych uwierzytelniających sshd i historii poleceń bash do serwera dowodzenia i kontroli.

Obecność FontOnLake w zaatakowanym systemie jest również maskowana przez rootkita, który jest również odpowiedzialny za aktualizację i dostarczanie backdoorów backupowych. Wszystkie próbki rootkitów przebadane przez ESET ukierunkowane wersje jądra 2.6.32-696.el6.x86_64 i 3.10.0-229.el7.X86_64.

ESET zauważa, że ​​FontOnLake jest najprawdopodobniej tym samym złośliwym oprogramowaniem wcześniej analizowane za pomocą Tencent Security Response Center eksperci. Wydaje się również, że to złośliwe oprogramowanie zostało już wykryte przez Avast i Koronki specjalistów, w których raportach pojawił się jako HRootkit i Sutersu rootkit.

Przypomnę, że my też to napisaliśmy Hakerzy tworzą Kobaltowa latarnia uderzeniowa dla Linuksa.

Tagi
Helga Smithpaździernik 12, 2021Ostatnio zaktualizowany: październik 12, 2021
133 1 minuta przeczytania

Helga Smith

Zawsze interesowałem się informatyką, zwłaszcza bezpieczeństwo danych i motyw, który nazywa się obecnie "nauka o danych", od moich wczesnych lat nastoletnich. Przed dołączeniem do zespołu usuwania wirusów jako redaktor naczelny, Pracowałem jako ekspert ds. cyberbezpieczeństwa w kilku firmach, w tym jeden z kontrahentów Amazona. Kolejne doświadczenie: Uczę na uniwersytetach Arden i Reading.

Zostaw odpowiedź

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Przycisk Powrót do góry