< p class = "meta"> Af Charlie Osborne for Zero Day | 11. oktober 2021 | Emne: Sikkerhed
Et mærke af malware, der tidligere er gået uopdaget, bruges i målrettede angreb mod Linux -systemer.
Ifølge forskere fra cybersikkerhedsfirmaet ESET ser det ud til, at malware, kaldet FontOnLake, er veldesignet, og mens den er under aktiv udvikling, indeholder allerede muligheder for fjernadgang, tyverisikring af funktioner og er i stand til at initialisere proxyservere.
FontOnLake-prøver dukkede først op på VirusTotal i maj 2020, men kommando-og-kontrol (C2) -servere, der er knyttet til disse filer, er deaktiveret, hvilket forskerne siger kan skyldes uploads.
Forskerne tilføjede, at Linux -systemer, der er målrettet mod malware, kan være placeret i områder, herunder Sydøstasien.
ESET mener, at operatørerne er “alt for forsigtige” med at blive fanget og deres aktiviteter afsløret, da næsten alle opnåede prøver bruger forskellige C2 -serveradresser og en række forskellige porte. Desuden gør malware-forfatterne brug af C/C ++ og en række tredjepartsbiblioteker som Boost og Protobuf.
FontOnLake er modulær malware, der udnytter brugerdefinerede binære filer til at inficere en maskine og udføre ondsindet kode. Mens ESET stadig undersøger FontOnLake, siger firmaet, at blandt de kendte komponenter er trojaniserede apps, der bruges til at indlæse bagdøre, rootkits og til at indsamle oplysninger.
“Patches af applikationerne anvendes højst sandsynligt på kildekode -niveau, hvilket angiver, at applikationerne skal have været samlet og erstattet de originale, “siger teamet.
I alt er der også blevet forbundet tre bagdøre til FontOnLake. Bagdørene er alle skrevet i C ++ og skaber en bro til den samme C2 for dataeksfiltrering. Derudover er de i stand til at udstede “hjerteslag” -kommandoer for at holde denne forbindelse aktiv.
FontOnLake er altid forbundet med en kernel-mode rootkit for at opretholde vedholdenhed på en inficeret Linux-maskine. Ifølge Avast er rootkit baseret på open source Suterusu -projektet.
Tencent og Lacework Labs har også offentliggjort forskning om, hvad der synes at være den samme stamme af malware. ESET har også udgivet et teknisk whitepaper (.PDF), der undersøger FontOnLake.
Tidligere og beslægtet dækning
Denne banktrojaner misbruger YouTube til at styre eksterne indstillinger
Mød Janeleiro: et nyt bank -trojansk firma, regeringens mål – ESET fjerner VictoryGate -kryptomineringsbotnet
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 