Linux 恶意软件 FontOnLake 用于针对性攻击
ESET 专家 谈过 关于 FontOnLake 恶意软件, 它结合了后门和 rootkit 组件. 已知该恶意软件用于针对东南亚组织的针对性攻击.
专家写道,与此恶意软件系列相关的第一个文件出现在 病毒总数 回到去年五月, 以及年内上传的其他样本. 基于这些文件的下载位置, 研究人员得出结论, FontOnLake 主要用于东南亚. 在撰写本文时, 所有恶意软件的控制服务器都已被禁用. 但研究人员指出, 作为一项规则, 在有针对性的攻击中, 黑客以这种方式行事: 一旦实现目标,基础设施的工作就会停止.
众所周知,FontOnLake 是通过木马应用程序分发的, 但研究人员不知道攻击者是如何强迫受害者下载修改过的二进制文件的. 攻击者修改以提供 FontOnLake 的实用程序包括 cat, 杀, sftp, 和 shd.
据研究人员称, 木马化实用程序可能在源代码级别进行了修改, 那是, 攻击者编译它们并替换原来的.
所有被木马化的文件都是标准的 Linux 实用程序,需要在系统中保持它们的存在, 因为它们通常在系统启动时启动.专家们写道.
也, 修改后的二进制文件提供了额外负载的加载, 收集信息并执行其他恶意操作. 事实是 FontOnLake 有几个模块相互交互并允许黑客窃取机密数据, 有效地隐藏他们在系统中的存在.
专家们还发现了三个用 C 编写的自定义后门 ++ 和 FontOnLake 相关. 它们为恶意软件操作员提供对受感染系统的远程访问. 所有后门程序的一个共同特征是将收集到的 sshd 凭据和 bash 命令历史记录传递给命令和控制服务器.
Rootkit 也掩盖了受感染系统中 FontOnLake 的存在, 它还负责更新和交付备份后门. 研究的所有 Rootkit 样本 ESET 目标内核版本 2.6.32-696.el6.x86_64 和 3.10.0-229.el7.X86_64.
让我提醒你,我们也写过 黑客创造 钴打击信标 适用于 Linux.