O malware Linux FontOnLake é usado em ataques direcionados

Helga SmithOutubro 12, 2021Última Actualização Outubro 12, 2021
133 lido 1 minuto

Especialistas ESET falou sobre o malware FontOnLake, que combina componentes backdoor e rootkit. O malware é conhecido por ser usado em ataques direcionados contra organizações no sudeste da Ásia.

Especialistas escrevem que o primeiro arquivo relacionado a esta família de malware apareceu em VirusTotal em maio do ano passado, e outras amostras foram enviadas durante o ano. Com base em onde esses arquivos foram baixados, os pesquisadores concluíram que FontOnLake foi usado principalmente no sudeste da Ásia. No momento em que este livro foi escrito, todos os servidores de controle do malware já foram desativados. Mas os pesquisadores observam que, como uma regra, durante ataques direcionados, hackers agem dessa maneira: a obra de infraestrutura é interrompida assim que seus objetivos são alcançados.

Sabe-se que o FontOnLake é distribuído por meio de aplicativos trojanizados, mas os pesquisadores não sabem como os invasores forçaram suas vítimas a baixar binários modificados. Entre os utilitários que o invasor modificou para entregar o FontOnLake estavam cat, matar, sftp, e shd.

De acordo com os pesquisadores, os utilitários trojanizados foram provavelmente modificados no nível do código-fonte, isso é, os invasores os compilaram e substituíram o original.

Todos os arquivos trojanizados são utilitários Linux padrão e são necessários para manter sua presença no sistema, porque eles geralmente são iniciados na inicialização do sistema.os especialistas escrevem.

Além disso, os binários modificados forneceram o carregamento de cargas úteis adicionais, coleta de informações e execução de outras ações maliciosas. O fato é que o FontOnLake possui vários módulos que interagem entre si e permitem que hackers roubem dados confidenciais, efetivamente escondendo sua presença no sistema.

FontOnLake

Os especialistas também descobriram três backdoors personalizados escritos em C ++ e relacionado ao FontOnLake. Eles fornecem aos operadores de malware acesso remoto ao sistema infectado. Um recurso comum para todos os backdoors é passar as credenciais sshd coletadas e o histórico do comando bash para o servidor de comando e controle.

A presença do FontOnLake em um sistema comprometido também é mascarada por um rootkit, que também é responsável por atualizar e entregar backdoors de backup. Todas as amostras de rootkit estudadas por ESET versões de kernel de destino 2.6.32-696.el6.x86_64 e 3.10.0-229.el7.X86_64.

ESET observa que FontOnLake é provavelmente o mesmo malware anteriormente analisado por Centro de Resposta de Segurança Tencent experts. Parece também que este malware já foi detectado por Avast e Lacework especialistas, em cujos relatórios apareceu como o HCRootkit e Sutersu rootkit.

Deixe-me lembrá-lo de que também escrevemos que Hackers criam Cobalt Strike Beacon para Linux.

Tag
Helga SmithOutubro 12, 2021Última Actualização Outubro 12, 2021
133 lido 1 minuto

Helga Smith

Sempre me interessei por ciências da computação, especialmente segurança de dados e o tema, que é chamado hoje em dia "ciência de dados", desde minha adolescência. Antes de entrar na equipe de remoção de vírus como editor-chefe, Trabalhei como especialista em segurança cibernética em várias empresas, incluindo um dos contratados da Amazon. Outra experiencia: Eu tenho é professor nas universidades Arden e Reading.

Deixe uma resposta

Este site usa Akismet para reduzir o spam. Saiba como seus dados comentário é processado.

Botão Voltar ao Topo