ed22555b06a82e761890bb9f721b63a4

FontOnLake Rootkit 恶意软件攻击 Linux 系统

  • 浏览次数 16841
  • 喜欢 0
  • 评分 12345

网络安全研究人员详细介绍了一项新的黑客行动,该行动可能以东南亚的实体为目标,工具是一种以前未被识别的Linux恶意软件,该恶意软件被用于进行远程访问,此外还可以收集凭证和充当代理服务器。

该恶意软件家族被斯洛伐克网络安全公司ESET称为“FontOnLake”,据说具有“设计良好的模块”,可以不断升级新功能。上传到VirusTotal的样本表明,可能最早在2020年5月,利用该威胁的入侵就发生了。

Avast和Lacework实验室正在追踪同样的恶意软件,其代号是HCRootkit。

ESET研究人员Vladislav Hrčka说:“FontOnLake工具隐匿性强,再加上先进的设计和较低的攻击次数,都表明它们被用于有针对性的攻击。”“为了收集数据或进行其他恶意攻击,这个恶意软件家族使用修改过的合法二进制文件,这些二进制文件被用以加载进一步的组件。事实上,为了隐藏它的存在,FontOnLake总是与一个rootkit同时出现。这些二进制文件通常在Linux系统上使用,而且持续时间按比较长。”

FontOnLake的工具集包括三个组件,包括木马版本的合法Linux实用程序,该程序用于加载内核模式的rootkit和用户模式后门,所有这些都使用虚拟文件相互通信。基于c++的移植设备本身被设计用来监视系统,在网络上秘密执行命令,并窃取帐户凭证。

微信图片_20211009103303

后门的第二种排列还具有代理、操作文件、下载任意文件的功能,而第三个变体除了合并其他两个后门的功能外,还配备了执行Python脚本和shell命令的功能。

ESET表示,他们发现了两个不同版本的Linux rootkit,它们基于一个名为Suterusu的开源项目,在功能上有重叠,包括隐藏进程、文件、网络连接和自身,同时也能够执行文件操作,提取并执行用户模式的后门。

目前还不清楚攻击者是如何获得对网络的初始访问权限的,但这家网络安全公司指出,攻击背后的活动者“极度谨慎”,通过依赖不同的、特别的C2服务器和不同的非标准端口来避免留下任何痕迹。

Hrčka说:“攻击者对网络安全非常精通,这些工具可能在未来的活动中被重复使用。”“由于大多数功能的设计只是为了隐藏它的存在,中继通信,并提供后门访问,我们认为这些工具主要用于维护基础设施,以服务于其他未知的恶意目的。”

 

消息来源:TheHackerNews,译者:Zoeppo;

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc ” 并附上原文链接