Зловредният софтуер FontOnLake удря системите на Linux в целеви атаки

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Марка злонамерен софтуер, която преди това е била незабелязана, се използва при целеви атаки срещу Linux системи.

Според изследователи от фирмата за киберсигурност ESET, зловредният софтуер, наречен FontOnLake, изглежда добре проектиран и докато е в активна разработка вече включва опции за отдалечен достъп, функции за кражба на идентификационни данни и е в състояние да инициализира прокси сървъри.

Пробите от FontOnLake за първи път се появиха на VirusTotal през май 2020 г., но сървърите за управление и управление (C2), свързани с тези файлове, са деактивирани, което според изследователите може да се дължи на качванията.

Изследователите добавиха, че Linux системите, насочени към зловредния софтуер, могат да бъдат разположени в райони, включително Югоизточна Азия.

ESET вярва, че операторите са „прекалено предпазливи“ да бъдат уловени и техните дейности да бъдат изложени, тъй като почти всички получени проби използват различни адреси на сървъра C2 и различни портове. Освен това авторите на зловредния софтуер използват C/C ++ и редица библиотеки на трети страни като Boost и Protobuf.

FontOnLake е модулен зловреден софтуер, който използва персонализирани двоични файлове за заразяване на машина и за изпълнение на злонамерен код. Докато ESET все още разследва FontOnLake, компанията казва, че сред известните му компоненти са троянизирани приложения, които се използват за зареждане на задни врати, руткитове и за събиране на информация.

„Пачове на приложенията най -вероятно се прилагат на ниво изходен код, което показва, че приложенията трябва да са компилирани и заменени с оригиналните“, казва екипът.

Общо три задни врати също са свързани към FontOnLake. Всички задни врати са написани на C ++ и създават мост към същия C2 за извличане на данни. Освен това те могат да издават команди „сърцебиене“, за да поддържат тази връзка активна.

FontOnLake винаги се присъединява с руткит в режим на ядрото, за да поддържа постоянството на заразена Linux машина. Според към Avast, руткитът се основава на проекта Suterusu с отворен код.

Tencent и Lacework Labs също са публикувани изследвания за това, което изглежда като същия вид зловреден софтуер. ESET пусна и технически Бяла хартия (.PDF) изследва FontOnLake.


Имате бакшиш? | Сигнал на +447713 025 499 или повече в Keybase: charlie0




Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •