לינוקס מאַלוואַרע פאָנטאָנלאַקע איז געניצט אין טאַרגעטעד אנפאלן

העלגאַ סמיטאקטאבער 12, 2021לעצטע דערהייַנטיקט: אקטאבער 12, 2021
132 1 מינוט לייענען

ESET ספּעשאַלאַסץ גערעדט וועגן די פאָנטאָנלאַקע מאַלוואַרע, וואָס קאַמביינז באַקדאָר און ראָאָטקיט קאַמפּאָונאַנץ. די מאַלוואַרע איז באַוווסט צו זיין געוויינט אין טאַרגעטעד אנפאלן קעגן אָרגאַנאַזיישאַנז אין סאָוטהעאַסט אזיע.

עקספּערץ שרייַבן אַז דער ערשטער טעקע שייַכות צו דעם מאַלוואַרע משפּחה ארויס אויף VirusTotal צוריק מאי לעצטע יאָר, און אנדערע סאַמפּאַלז זענען ופּלאָאַדעד בעשאַס די יאָר. באַזירט אויף ווו די טעקעס זענען דאַונלאָודיד פון, די ריסערטשערז געפונען אַז פאָנטאָנלאַקע איז געווען בפֿרט געניצט אין סאָוטהעאַסט אזיע. אין דער צייט פון דעם שרייבן, אַלע די קאָנטראָל סערווערס פון די מאַלוואַרע זענען שוין פאַרקריפּלט. אָבער די ריסערטשערז טאָן דאָס, אלץ א כלל, בעשאַס טאַרגעטעד אנפאלן, כאַקערז אַקט אין דעם וועג: די אַרבעט פון די ינפראַסטראַקטשער סטאַפּס ווי באַלד ווי זייער צילן זענען אַטשיווד.

עס איז באַוווסט אַז FontOnLake איז פונאנדערגעטיילט דורך טראָדזשאַניזעד אַפּלאַקיישאַנז, אָבער ריסערטשערז טאָן ניט וויסן ווי די אַטאַקערז געצווונגען זייער וויקטימס צו אָפּלאָדירן מאַדאַפייד בינאַריעס. צווישן די יוטילאַטיז אַז די אַטאַקער מאַדאַפייד צו באַפרייַען פאָנטאָנלאַקע זענען קאַץ, טויטן, sftp, און שד.

לויט די ריסערטשערז, די טראָדזשאַניזעד יוטילאַטיז זענען מיסטאָמע מאַדאַפייד אויף די מקור קאָד מדרגה, דאס איז, די אַטאַקערז האָבן זיי צונויפגעשטעלט און ריפּלייסט די אָריגינעל.

כל טראָדזשאַניזעד טעקעס זענען נאָרמאַל לינוקס יוטילאַטיז און זענען דארף צו האַלטן זייער בייַזייַן אין די סיסטעם, ווייַל זיי זענען יוזשאַוואַלי לאָנטשט ביי סיסטעם סטאַרטאַפּ.די עקספּערץ שרייַבן.

אויך, די מאַדאַפייד בינאַריעס צוגעשטעלט לאָודינג פון נאָך פּיילאָודז, קאַלעקטינג אינפֿאָרמאַציע און דורכפירן אנדערע בייזע אַקשאַנז. דער פאַקט איז אַז FontOnLake האט עטלעכע מאַדזשולז וואָס ינטעראַקט מיט יעדער אנדערע און לאָזן כאַקערז צו גאַנווענען קאַנפאַדענשאַל דאַטן, יפעקטיוולי כיידינג זייער בייַזייַן אין די סיסטעם.

פאָנטאָנלאַקע

די עקספּערץ אויך דיסקאַווערד דריי מנהג באַקדאָרז געשריבן אין סי ++ און שייַכות צו FontOnLake. זיי צושטעלן מאַלוואַרע אָפּערייטערז מיט ווייַט אַקסעס צו די ינפעקטאַד סיסטעם. א פּראָסט שטריך פֿאַר אַלע באַקדאָרז איז צו פאָרן די געזאמלט sshd קראַדענטשאַלז און באַש באַפֿעלן געשיכטע צו די באַפֿעל און קאָנטראָל סערווער.

די בייַזייַן פון FontOnLake אין אַ קאַמפּראַמייזד סיסטעם איז אויך מאַסקט דורך אַ ראָאָטקיט, וואָס איז אויך פאַראַנטוואָרטלעך פֿאַר אַפּדייטינג און דעליווערינג באַקקופּ באַקדאָרז. כל ראָאָטקיט סאַמפּאַלז געלערנט דורך ESET טאַרגעטעד קערן ווערסיעס 2.6.32-696.el6.x86_64 און 3.10.0-229.el7.X86_64.

ESET הערות אַז FontOnLake איז רובֿ מסתּמא דער זעלביקער מאַלוואַרע פריער אַנאַליזירט דורך Tencent Security Response Center עקספּערץ. עס אויך מיינט אַז דעם מאַלוואַרע איז שוין דיטעקטאַד דורך אַוואַסט און לאַסעוואָרק ספּעשאַלאַסץ, אין וועמענס ריפּאָרץ עס איז ארויס ווי די HCRootkit און סוטערס rootkit.

לאמיך אייך דערמאנען, אז מיר האבן דאס אויך געשריבן כאַקערז מאַכן קאָבאַלט סטרייק ביקאַן פֿאַר לינוקס.

טאַגס
העלגאַ סמיטאקטאבער 12, 2021לעצטע דערהייַנטיקט: אקטאבער 12, 2021
132 1 מינוט לייענען

העלגאַ סמיט

איך בין שטענדיק אינטערעסירט אין קאָמפּיוטער וויסנשאַפֿט, ספּעציעל דאַטן זיכערהייט און די טעמע, וואס הייסט היינט-צו-טאג "דאַטן וויסנשאַפֿט", זינט מיין פרי טינז. איידער איר קומען אין די ווירוס באַזייַטיקונג מאַנשאַפֿט ווי רעדאַקטאָר-אין-ראשי, איך געארבעט ווי אַ סייבערסעקוריטי מומחה אין עטלעכע קאָמפּאַניעס, אַרייַנגערעכנט איינער פון אַמאַזאָן ס קאָנטראַקטאָרס. אן אנדער דערפאַרונג: איך האָבן געלערנט אין Arden און רידינג אוניווערסיטעטן.

לאָזן אַ ענטפער

דער פּלאַץ ניצט Akismet צו רעדוצירן ספּאַם. לערנען ווי דיין באַמערקונג דאַטן זענען פּראַסעסט.

צוריק צו שפּיץ קנעפּל