Linux 恶意软件 FontOnLake 用于针对性攻击

ESET 专家 谈过 关于 FontOnLake 恶意软件, 它结合了后门和 rootkit 组件. 已知该恶意软件用于针对东南亚组织的针对性攻击.

专家写道,与此恶意软件系列相关的第一个文件出现在 病毒总数 回到去年五月, 以及年内上传的其他样本. 基于这些文件的下载位置, 研究人员得出结论, FontOnLake 主要用于东南亚. 在撰写本文时, 所有恶意软件的控制服务器都已被禁用. 但研究人员指出, 作为一项规则, 在有针对性的攻击中, 黑客以这种方式行事: 一旦实现目标,基础设施的工作就会停止.

众所周知,FontOnLake 是通过木马应用程序分发的, 但研究人员不知道攻击者是如何强迫受害者下载修改过的二进制文件的. 攻击者修改以提供 FontOnLake 的实用程序包括 cat, 杀, sftp, 和 shd.

据研究人员称, 木马化实用程序可能在源代码级别进行了修改, 那是, 攻击者编译它们并替换原来的.

所有被木马化的文件都是标准的 Linux 实用程序,需要在系统中保持它们的存在, 因为它们通常在系统启动时启动.专家们写道.

也, 修改后的二进制文件提供了额外负载的加载, 收集信息并执行其他恶意操作. 事实是 FontOnLake 有几个模块相互交互并允许黑客窃取机密数据, 有效地隐藏他们在系统中的存在.

FontOnLake

专家们还发现了三个用 C 编写的自定义后门 ++ 和 FontOnLake 相关. 它们为恶意软件操作员提供对受感染系统的远程访问. 所有后门程序的一个共同特征是将收集到的 sshd 凭据和 bash 命令历史记录传递给命令和控制服务器.

Rootkit 也掩盖了受感染系统中 FontOnLake 的存在, 它还负责更新和交付备份后门. 研究的所有 Rootkit 样本 ESET 目标内核版本 2.6.32-696.el6.x86_64 和 3.10.0-229.el7.X86_64.

ESET 指出 FontOnLake 很可能与之前的恶意软件相同 分析 经过 腾讯安全响应中心 专家. 该恶意软件似乎也已被检测到 阿瓦斯特花边 专家, 在其报告中,它出现在 HCRootkit苏特苏 根工具包.

让我提醒你,我们也写过 黑客创造 钴打击信标 适用于 Linux.

赫尔加·史密斯

我一直对计算机科学感兴趣, 特别是数据安全和主题, 现在被称为 "数据科学", 从我十几岁起. 在加入病毒清除团队担任主编之前, 我曾在多家公司担任网络安全专家, 包括亚马逊的一名承包商. 另一种体验: 我在雅顿大学和雷丁大学任教.

发表评论

本网站使用的Akismet,以减少垃圾邮件. 了解您的意见如何处理数据.

返回顶部按钮