< p class = "meta"> Av Charlie Osborne för Zero Day | 11 oktober 2021 | Ämne: Säkerhet
Ett varumärke med skadlig kod som tidigare har upptäckts används i riktade attacker mot Linux -system.
Enligt forskare från cybersäkerhetsföretaget ESET verkar skadlig programvara, namnet FontOnLake, vara väl utformad och även under aktiv utveckling innehåller den redan fjärråtkomstalternativ, stöldfunktioner och kan initiera proxyservrar.
FontOnLake-prover dök först upp på VirusTotal i maj 2020 men kommando- och kontrollservrarna (C2) kopplade till dessa filer är inaktiverade, vilket forskarna säger kan bero på uppladdningarna.
Forskarna tillade att Linux -system som riktas mot skadlig programvara kan finnas i områden inklusive Sydostasien.
ESET anser att operatörerna är “alltför försiktiga” med att fångas och deras aktiviteter avslöjas eftersom nästan alla prover som erhållits använder olika C2 -serveradresser och en mängd olika portar. Dessutom använder malware-författarna C/C ++ och ett antal tredjepartsbibliotek som Boost och Protobuf.
FontOnLake är modulär skadlig kod som utnyttjar anpassade binärer för att infektera en dator och för att köra skadlig kod. Medan ESET fortfarande undersöker FontOnLake säger företaget att bland sina kända komponenter finns trojaniserade appar som används för att ladda bakdörrar, rootkits och för att samla in information.
“Patcher av applikationerna används troligen på källkodsnivå, vilket indikerar att applikationerna måste ha sammanställts och ersatt de ursprungliga”, säger teamet.
Totalt har tre bakdörrar också anslutits till FontOnLake. Bakdörrarna är alla skrivna i C ++ och skapar en bro till samma C2 för dataexfiltrering. Dessutom kan de utfärda “hjärtslag” -kommandon för att hålla denna anslutning aktiv.
FontOnLake är alltid förenat med ett kernel-läge rootkit för att behålla uthållighet på en infekterad Linux-maskin. Enligt Avast är rootkiten baserad på Suterusu -projektet med öppen källkod.
Tencent och Lacework Labs har också publicerat forskning om vad som verkar vara samma stam av skadlig kod. ESET har också släppt en teknisk whitepaper (.PDF) som undersöker FontOnLake.
Tidigare och relaterad täckning
Denna banktrojan missbrukar YouTube för att hantera fjärrinställningar
Träffa Janeleiro: ett nytt trojanskt bankföretag, regeringens mål – ESET tar ner VictoryGate kryptomineringsbotnet
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Säkerhet
När ditt VPN är en fråga om liv eller död, lita inte på recensioner Ransomware -gäng är klagar på att andra skurkar stjäl sina lösenord Bandwidth CEO bekräftar avbrott orsakade av DDoS-attack Dessa system möter miljarder attacker varje månad när hackare försöker gissa lösenord Hur man får ett högst betalande jobb inom cybersäkerhet Cybersecurity 101: Skydda din integritet från hackare, spioner , regeringen
Relaterade ämnen:
Linux Security TV Data Management CXO Data Center 