Linux 惡意軟件 FontOnLake 用於針對性攻擊
ESET 專家 談過 關於 FontOnLake 惡意軟件, 它結合了後門和 rootkit 組件. 眾所周知,該惡意軟件被用於針對東南亞組織的針對性攻擊.
專家寫道,與此惡意軟件系列相關的第一個文件出現在 病毒總數 回到去年五月, 以及年內上傳的其他樣本. 基於這些文件的下載位置, 研究人員得出結論, FontOnLake 主要用於東南亞. 在撰寫本文時, 所有惡意軟件的控制服務器都已被禁用. 但研究人員指出, 作為一項規則, 在有針對性的攻擊中, 黑客以這種方式行事: 一旦實現目標,基礎設施的工作就會停止.
眾所周知,FontOnLake 是通過木馬應用程序分發的, 但研究人員不知道攻擊者是如何強迫受害者下載修改過的二進製文件的. 攻擊者修改以提供 FontOnLake 的實用程序包括 cat, 殺, sftp, 和 shd.
據研究人員稱, 木馬化實用程序可能在源代碼級別進行了修改, 那是, 攻擊者編譯它們並替換原來的.
所有被木馬化的文件都是標準的 Linux 實用程序,需要在系統中保持它們的存在, 因為它們通常在系統啟動時啟動.專家寫道.
也, 修改後的二進製文件提供了額外負載的加載, 收集信息並執行其他惡意操作. 事實是 FontOnLake 有幾個模塊相互交互並允許黑客竊取機密數據, 有效地隱藏他們在系統中的存在.
專家們還發現了三個用 C 編寫的自定義後門 ++ 和 FontOnLake 相關. 它們為惡意軟件操作員提供對受感染系統的遠程訪問. 所有後門程序的一個共同特徵是將收集到的 sshd 憑據和 bash 命令歷史記錄傳遞給命令和控制服務器.
Rootkit 也掩蓋了受感染系統中 FontOnLake 的存在, 它還負責更新和交付備份後門. 研究的所有 Rootkit 樣本 ESET 目標內核版本 2.6.32-696.el6.x86_64 和 3.10.0-229.el7.X86_64.
讓我提醒你,我們也寫過 黑客創造 鈷打擊信標 適用於 Linux.
