Zlonamerna programska oprema Linux FontOnLake se uporablja pri ciljno usmerjenih napadih

Helga Smithoktobra 12, 2021Zadnja posodobitev: oktobra 12, 2021
132 1 minutno branje

ESET strokovnjaki govoril o zlonamerni programski opremi FontOnLake, ki združuje komponente backdoor in rootkit. Znano je, da se zlonamerna programska oprema uporablja za ciljane napade na organizacije v jugovzhodni Aziji.

Strokovnjaki pišejo, da se je prva datoteka, povezana s to družino zlonamerne programske opreme, pojavila na VirusTotal že maja lani, in drugi vzorci so bili naloženi med letom. Glede na to, od kod so bile te datoteke prenesene, raziskovalci zaključili, da FontOnLake Uporabljali so ga predvsem v jugovzhodni Aziji. V času tega pisanja, vsi nadzorni strežniki zlonamerne programske opreme so bili že onemogočeni. Toda raziskovalci ugotavljajo, da, kot pravilo, med ciljanimi napadi, hekerji delujejo na ta način: delo infrastrukture se ustavi takoj, ko so njihovi cilji doseženi.

Znano je, da se FontOnLake distribuira prek trojaniziranih aplikacij, vendar raziskovalci ne vedo, kako so napadalci svoje žrtve prisilili v prenos spremenjenih binarnih datotek. Med pripomočki, ki jih je napadalec spremenil za dostavo FontOnLake, so bili cat, ubiti, sftp, in shd.

Po mnenju raziskovalcev, trojanizirani pripomočki so bili verjetno spremenjeni na ravni izvorne kode, to je, napadalci so jih sestavili in zamenjali izvirnik.

Vse trojanske datoteke so standardni pripomočki Linuxa in so potrebni za ohranitev njihove prisotnosti v sistemu, ker se običajno zaženejo ob zagonu sistema.pišejo strokovnjaki.

tudi, spremenjene binarne datoteke so zagotovile nalaganje dodatnih koristnih obremenitev, zbiranje informacij in izvajanje drugih zlonamernih dejanj. Dejstvo je, da ima FontOnLake več modulov, ki med seboj komunicirajo in hekerjem omogočajo krajo zaupnih podatkov., učinkovito skrivajo svojo prisotnost v sistemu.

FontOnLake

Strokovnjaki so odkrili tudi tri stranska vrata po meri, napisana v C ++ in v zvezi s FontOnLake. Operaterjem zlonamerne programske opreme zagotavljajo oddaljen dostop do okuženega sistema. Skupna značilnost za vsa stranska vrata je posredovanje zbranih poverilnic sshd in zgodovine ukazov bash strežniku za ukaze in nadzor.

Prisotnost FontOnLake v ogroženem sistemu je prikrita tudi z rootkitom, ki je odgovoren tudi za posodabljanje in zagotavljanje varnostnih kopij zakulisnih vrat. Vse vzorce rootkitov, ki jih je preučil ESET ciljne različice jedra 2.6.32-696.el6.x86_64 in 3.10.0-229.el7.X86_64.

ESET ugotavlja, da je FontOnLake najverjetneje enaka prejšnja zlonamerna programska oprema analizirali avtor Tencent varnostni odzivni center strokovnjaki. Zdi se tudi, da je to zlonamerno programsko opremo že odkril Avast in Čipke specialisti, v čigar poročilih se je pojavil kot HCRootkit in Suters rootkit.

Naj vas spomnim, da smo tudi to pisali Hekerji ustvarjajo Cobalt Strike Beacon za Linux.

Oznake
Helga Smithoktobra 12, 2021Zadnja posodobitev: oktobra 12, 2021
132 1 minutno branje

Helga Smith

Vedno me je zanimalo računalništvo, zlasti varnost podatkov in tema, ki se dandanes imenuje "znanost o podatkih", že od zgodnjih najstniških let. Pred prihodom v ekipo za odstranjevanje virusov kot glavni urednik, Delal sem kot strokovnjak za kibernetsko varnost v več podjetjih, vključno z enim od Amazonovih izvajalcev. Še ena izkušnja: Poučujem na univerzah Arden in Reading.

Pustite odgovor

To spletno mesto uporablja Akismet za zmanjšanje neželene pošte. Preberite, kako se obdelujejo vaši komentarji.

Gumb Nazaj na vrh