首页保安FontOnLake 恶意软件:通过木马化实用程序针对 Linux 系统

FontOnLake 恶意软件:通过木马化实用程序针对 Linux 系统

一种新的恶意软件,名为 FontOnLake 感染 Linux 系统 και 隐藏在合法的二进制文件中. 据研究人员称,FontOnLake 有后门和 rootkit 组件。

恶意软件并不常见,但可以从中受益 先进的设计 这使他能够保持 在受感染系统中的广泛持久性.

另见: ShellClient 恶意软件:用于航空航天公司

FontOnLake 恶意软件

FontOnLake 隐藏在合法的实用程序中

FontOnLake 有 多个模块 彼此互动并允许 与恶意软件运营商的沟通,而 窃取敏感数据 και 隐藏在系统中.

ESET 安全研究人员在扫描仪服务中发现了该恶意软件的许多样本 VirusTotal. 第一次出现在 2020 年 XNUMX 月。

研究人员观察到,FontOnLake 的设计非常小心。 这 恶意软件 针对 Linux 系统,最有可能被谨慎使用的犯罪分子用于针对性攻击 独特的命令和控制 (C2) 服务器 用于“几乎所有样品”和各种非标准端口。

另见: 编码错误如何将 AirTags 变成恶意软件分发者

虽然 ESET 研究人员发现 FontOnLake 恶意软件的分发方法是通过木马应用程序,但他们不知道受害者是如何被诱骗下载修改后的二进制文件的。

由威胁载体修改的用于交付 FontOnLake 的 Linux 实用程序包括: 猫,杀,sftp,sshd.

所有被木马化的文件都是标准的 Linux 实用程序,并作为一种持久性方法,因为它们通常在系统启动时运行“他说 弗拉迪斯拉夫·赫尔奇卡,ESET 的恶意软件分析师和逆向工程师。

研究人员认为,木马实用程序可能已被修改为 源代码级别。

除了转移恶意软件之外,这些修改后的二进制文件的作用是 将其他恶意负载上传到受感染的 Linux 系统、收集信息或执行其他恶意操作。

研究人员发现 三自定义 后门 用 C++ 编写,这与 FontOnLake 恶意软件有关,并为操作员提供对受感染系统的远程访问。

这三者的共同功能是将窃取的 sshd 凭据和 bash 命令历史记录传输到 C2 服务器。

FontOnLake Linux

基于开源rootkit

在他们的报告中,ESET 研究人员报告了 FontOnLake 在受感染的 Linux 系统中的存在 被 rootkit 组件隐藏,它还负责更新和传送备份后门。

木马应用程序和rootkit之间的通信是通过一个 虚拟文件 这创造了后者。 操作员可以在该文件中读取或写入数据,并从后门组件中提取数据。

研究人员认为 FontOnLake 的创造者是“在网络安全方面非常有经验”并禁用了在 VirusTotal 中发现的样本中使用的 C2 服务器。

另见: Android 恶意软件从 10 万用户那里窃取了金钱!

ESET 表示 FontOnLake 可能与之前由研究人员分析的恶意软件相同 腾讯安全响应中心.

网络安全公司 AVAST 曾在 XNUMX 月份表示,它发现了一种针对 Linux 系统的新恶意软件。 他们的描述类似于 ESET 的发现。

rootkit 组件的主要目的是隐藏第 2 阶段的有效负载并确保来自 CNC 的流量绕过防火墙,安装 netfilter 挂钩并重定向 CNC 数据包以显示它们来自本地主机”,阿瓦斯特说。

资料来源:Bleeping Computer

数字要塞https://www.secnews.gr
追求梦想与生活!
现货图片

实时新闻