< p class = "meta"> Av Charlie Osborne for Zero Day | 11. oktober 2021 | Tema: Sikkerhet
Et merke med skadelig programvare som tidligere har blitt uoppdaget, brukes i målrettede angrep mot Linux -systemer.
Ifølge forskere fra nettsikkerhetsfirmaet ESET ser det ut til at skadelig programvare, kalt FontOnLake, er godt designet, og mens det er under aktiv utvikling, inneholder det allerede alternativer for ekstern tilgang, tyverifunksjoner og kan initialisere proxy-servere.
FontOnLake-prøver dukket først opp på VirusTotal i mai 2020, men kommando-og-kontroll (C2) -servere koblet til disse filene er deaktivert, noe forskerne sier kan skyldes opplastingene.
Forskerne la til at Linux -systemer rettet mot skadelig programvare kan være lokalisert i områder inkludert Sørøst -Asia.
ESET mener operatørene er “altfor forsiktige” med å bli fanget og deres aktiviteter avslørt ettersom nesten alle prøver som er innhentet bruker forskjellige C2 -serveradresser og en rekke porter. Videre bruker malware-forfatterne C/C ++ og en rekke tredjepartsbiblioteker som Boost og Protobuf.
FontOnLake er modulær skadelig programvare som bruker egendefinerte binære filer for å infisere en maskin og for å utføre skadelig kode. Mens ESET fortsatt undersøker FontOnLake, sier firmaet at blant de kjente komponentene er trojaniserte apper som brukes til å laste inn bakdører, rootkits og for å samle informasjon.
“Patcher av applikasjonene er mest sannsynlig brukt på kildekodenivå, som indikerer at applikasjonene må ha blitt kompilert og erstattet de originale, sier teamet.
Totalt har også tre bakdører blitt koblet til FontOnLake. Bakdørene er alle skrevet i C ++ og lager en bro til samme C2 for dataeksfiltrering. I tillegg kan de utstede “hjerteslag” -kommandoer for å holde denne forbindelsen aktiv.
FontOnLake er alltid koblet til en kjernemodus rootkit for å opprettholde utholdenhet på en infisert Linux-maskin. Ifølge Avast er rootkiten basert på åpen kildekode Suterusu -prosjektet.
Tencent og Lacework Labs har også publisert forskning på det som ser ut til å være den samme typen skadelig programvare. ESET har også gitt ut et teknisk whitepaper (.PDF) som undersøker FontOnLake.
Tidligere og relatert dekning
Denne trojaneren i banken misbruker YouTube for å administrere eksterne innstillinger
Møt Janeleiro: et nytt bankforretning for trojanere, regjeringsmål – ESET tar ned VictoryGate kryptomineringsbotnet
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 