Linux -skadlig kod FontOnLake används i riktade attacker

ESET -specialister pratade om FontOnLake -skadlig kod, som kombinerar bakdörr- och rootkit -komponenter. Det är känt att skadlig programvara används i riktade attacker mot organisationer i Sydostasien.

Experter skriver att den första filen som är relaterad till denna malware -familj visades på VirusTotal tillbaka i maj förra året, och andra prover laddades upp under året. Baserat på varifrån dessa filer laddades ner, forskarna drog slutsatsen att FontOnLake användes främst i Sydostasien. Vid tidpunkten för detta skrivande, alla malware -kontrollservrar hade redan inaktiverats. Men forskarna noterar det, i regel, under riktade attacker, hackare agerar på detta sätt: infrastrukturens arbete stannar så snart deras mål uppnås.

Det är känt att FontOnLake distribueras genom trojaniserade applikationer, men forskare vet inte hur angriparna tvingade sina offer att ladda ner modifierade binärer. Bland de verktyg som angriparen modifierade för att leverera FontOnLake var cat, döda, sftp, och shd.

Enligt forskarna, de trojaniserade verktygen modifierades troligen på källkodsnivå, det är, angriparna sammanställde dem och ersatte originalet.

Alla trojaniserade filer är standard Linux -verktyg och behövs för att behålla sin närvaro i systemet, eftersom de vanligtvis lanseras vid systemstart.skriver experterna.

Också, de modifierade binärerna gav lastning av ytterligare nyttolaster, samla in information och utföra andra skadliga åtgärder. Faktum är att FontOnLake har flera moduler som interagerar med varandra och gör att hackare kan stjäla konfidentiell data, effektivt döljer deras närvaro i systemet.

FontOnLake

Experterna upptäckte också tre anpassade bakdörrar skrivna i C ++ och relaterat till FontOnLake. De ger malware -operatörer fjärråtkomst till det infekterade systemet. En gemensam egenskap för alla bakdörrar är att skicka de samlade sshd -uppgifterna och bash -kommandohistoriken till kommando- och kontrollservern.

Närvaron av FontOnLake i ett komprometterat system maskeras också av en rootkit, som också ansvarar för att uppdatera och leverera backup -bakdörrar. Alla rootkit -prover studerade av ESET riktade kärnversioner 2.6.32-696.el6.x86_64 och 3.10.0-229.el7.X86_64.

ESET noterar att FontOnLake troligen är samma skadliga program tidigare analyseras förbi Tencent Security Response Center experter. Det verkar också som att denna skadliga programvara redan har upptäckts av Avast och Lacework specialister, i vars rapporter det syntes som HCRootkit och Sutersu rootkit.

Låt mig påminna dig om att vi också skrev det Hackare skapar Cobalt Strike Beacon för Linux.

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen