< p class="meta"> Door Charlie Osborne voor Zero Day | 11 oktober 2021 | Onderwerp: Beveiliging
Een merk van malware dat voorheen onopgemerkt bleef, wordt gebruikt bij gerichte aanvallen op Linux-systemen.
Volgens onderzoekers van cyberbeveiligingsbedrijf ESET lijkt de malware, FontOnLake genaamd, goed ontworpen te zijn en, hoewel in actieve ontwikkeling, al opties voor externe toegang, diefstal van inloggegevens en kan proxyservers worden geïnitialiseerd.
FontOnLake-voorbeelden verschenen voor het eerst op VirusTotal in mei 2020, maar de command-and-control (C2) -servers die aan deze bestanden zijn gekoppeld, zijn uitgeschakeld, wat volgens de onderzoekers te wijten kan zijn aan de uploads.
De onderzoekers voegden eraan toe dat Linux-systemen die het doelwit zijn van de malware, zich mogelijk in onder meer Zuidoost-Azië bevinden.
ESET is van mening dat de operators “te voorzichtig” zijn om betrapt te worden en hun activiteiten bloot te leggen, aangezien bijna alle verkregen samples verschillende C2-serveradressen en een verscheidenheid aan poorten gebruiken. Bovendien maken de auteurs van de malware gebruik van C/C++ en een aantal bibliotheken van derden, zoals Boost en Protobuf.
FontOnLake is modulaire malware die aangepaste binaire bestanden gebruikt om een machine te infecteren en kwaadaardige code uit te voeren. Terwijl ESET FontOnLake nog aan het onderzoeken is, zegt het bedrijf dat onder de bekende componenten getrojaniseerde apps zijn die worden gebruikt om achterdeurtjes en rootkits te laden en om informatie te verzamelen.
“Patches van de applicaties worden hoogstwaarschijnlijk toegepast op broncodeniveau, wat aangeeft dat de applicaties gecompileerd moeten zijn en de originele moeten vervangen”, zegt het team.
In totaal zijn er ook drie achterdeuren aangesloten op FontOnLake. De backdoors zijn allemaal geschreven in C++ en creëren een brug naar dezelfde C2 voor data-exfiltratie. Bovendien kunnen ze “hartslag”-commando's geven om deze verbinding actief te houden.
FontOnLake is altijd gekoppeld aan een rootkit in kernelmodus om persistentie op een geïnfecteerde Linux-machine te behouden. Volgens Avast is de rootkit gebaseerd op het open source Suterusu-project.
Tencent en Lacework Labs hebben ook onderzoek gepubliceerd over wat dezelfde soort malware lijkt te zijn. ESET heeft ook een technische whitepaper (.PDF) uitgebracht waarin FontOnLake wordt onderzocht.
Eerdere en gerelateerde berichtgeving
Deze bancaire trojan misbruikt YouTube om instellingen op afstand te beheren
Maak kennis met Janeleiro: een nieuw bedrijf dat een bancaire trojan aanvalt, doelwitten van de overheid
ESET haalt het VictoryGate cryptomining-botnet neer
Heeft u een tip?Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Beveiliging
Wanneer uw VPN een kwestie van leven of dood is, vertrouw dan niet op beoordelingen Ransomware-bendes zijn klagen dat andere criminelen hun losgeld stelen Bandbreedte CEO bevestigt uitval veroorzaakt door DDoS-aanval Deze systemen worden elke maand geconfronteerd met miljarden aanvallen terwijl hackers wachtwoorden proberen te raden Een goedbetaalde baan in cybersecurity krijgen Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen , de overheid
gerelateerde onderwerpen:
Linux-beveiliging TV-gegevensbeheer CXO-datacenters 