Phần mềm độc hại Linux FontOnLake được sử dụng trong các cuộc tấn công có chủ đích

Helga SmithTháng 10 12, 2021Cập nhật mới nhất: Tháng 10 12, 2021
1 phút đọc

ESET specialists talked about the FontOnLake malware, kết hợp các thành phần backdoor và rootkit. The malware is known to be used in targeted attacks against organizations in Southeast Asia.

Experts write that the first file related to this malware family appeared on Tổng số virus back in May last year, and other samples were uploaded during the year. Based on where these files were downloaded from, the researchers concluded that FontOnLake was primarily used in Southeast Asia. At the time of this writing, all the malware’s control servers had already been disabled. But the researchers note that, as a rule, during targeted attacks, hackers act in this way: the work of the infrastructure stops as soon as their goals are achieved.

It is known that FontOnLake is distributed through trojanized applications, but researchers do not know how the attackers forced their victims to download modified binaries. Among the utilities that the attacker modified to deliver FontOnLake were cat, kill, sftp, and shd.

Theo các nhà nghiên cứu, the trojanized utilities were probably modified at the source code level, that is, the attackers compiled them and replaced the original.

All trojanized files are standard Linux utilities and are needed to maintain their presence in the system, because they are usually launched at system startup.the experts write.

Cũng, the modified binaries provided loading of additional payloads, collecting information and performing other malicious actions. The fact is that FontOnLake has several modules that interact with each other and allow hackers to steal confidential data, effectively hiding their presence in the system.

FontOnLake

The experts also discovered three custom backdoors written in C ++ and related to FontOnLake. They provide malware operators with remote access to the infected system. A common feature for all backdoors is to pass the collected sshd credentials and bash command history to the command and control server.

The presence of FontOnLake in a compromised system is also masked by a rootkit, which is also responsible for updating and delivering backup backdoors. All rootkit samples studied by ESET targeted kernel versions 2.6.32-696.el6.x86_64 and 3.10.0-229.el7.X86_64.

ESET notes that FontOnLake is most likely the same malware previously analyzed by Tencent Security Response Center experts. It also seems that this malware has already been detected by AvastLacework specialists, in whose reports it appeared as the HCRootkitSutersu rootkit.

Hãy để tôi nhắc bạn rằng chúng tôi cũng đã viết rằng Hackers create Cobalt Strike Beacon for Linux.

thẻ
Helga SmithTháng 10 12, 2021Cập nhật mới nhất: Tháng 10 12, 2021
1 phút đọc

Helga Smith

Tôi luôn quan tâm đến khoa học máy tính, đặc biệt là bảo mật dữ liệu và chủ đề, được gọi là ngày nay "khoa học dữ liệu", kể từ khi tôi còn ở tuổi thiếu niên. Trước khi vào nhóm Diệt Virus với vai trò Tổng biên tập, Tôi đã làm việc với tư cách là chuyên gia an ninh mạng tại một số công ty, bao gồm một trong những nhà thầu của Amazon. Một trải nghiệm khác: Tôi đã nhận được đang giảng dạy tại các trường đại học Arden và Reading.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Trang web này sử dụng akismet để giảm spam. Tìm hiểu cách xử lý dữ liệu bình luận của bạn.

Nút quay lại đầu trang