最近,网络安全研究人员详细介绍了一项可能针对东南亚实体的新攻击活动,可能使用以前无法识别的活动Linux除了收集凭证和充当代理服务器外,恶意软件还可以远程访问其运营商。
ESET称这类恶意软件为“FontOnLake”,精心设计和升级的模块表明它正处于开发的活跃阶段。VirusTotal样本表明,利用这种威胁的第一次入侵可能发生在2020年5月。
ESET研究员Vladislav Hrčka表示:FontOnLake隐蔽性,设计先进,流行率低,目前用于针对性攻击。为了收集数据或进行其他恶意活动,这些恶意软件使用修改后的合法二进制文件进行调整,以加载更多的组件。此外,为了隐藏自己的存在,FontOnLak总是伴随着 rootkit。这些二进制文件通常是Linux系统使用,也可作为持久机制。
FontOnLake合法 的工具集包括三个组件Linux 用于加载核心模式的木马化版本rootkits所有这些都使用虚拟文件与用户模式的后门进行通信。C 植入程序本身旨在监控系统,在网络上秘密执行命令,泄露账户凭证。
后门的第二个变体还具有代理、操作文件和下载任何文件的功能,除了结合其他两个后门的功能外,第三个变体还可以执行Python脚本和shell命令。
ESET发现了两个不同的版本Linux rootkit,它们基于一个名字Suterusu开源项目的功能重叠,包括隐藏过程、文件和网络连接,以及文件操作、提取和执行用户模式的后门。
目前还不清楚攻击者是如何获得网络的初始访问权限的,但网络安全公司指出,攻击者非常谨慎,依靠不同和独特的命令来控制 (C2) ,避免在不同非标准端口的服务器上留下任何痕迹VirusTotal所有在工件中观察到的 C2 服务器不再活跃。
“它们的规模和先进的设计表明,作者精通网络安全,这些工具可以在未来的活动中重复使用,”Hrčka说。“我们认为这些工具主要为其他恶意攻击提供服务支持,因为大多数功能旨在隐藏其存在、中继通信和后门访问。”
参考来源:https://thehackernews.com/2021/10/researchers-warn-of-fontonlake-rootkit.html