恶意软件FontOnLake Rootkit正在威胁Linux系统

admin 2022年5月23日11:05:58安全新闻评论19 views1063字阅读3分32秒阅读模式

近期,网络安全研究人员详细介绍了一项可能针对东南亚实体的新型攻击活动,该活动可能使用以前无法识别的Linux恶意软件,除了收集凭据和充当代理服务器外,还可以远程访问其运营商。

恶意软件FontOnLake Rootkit正在威胁Linux系统

斯洛伐克网络安全公司 ESET称这类恶意软件为“FontOnLake”,拥有精心设计且不断升级的模块,表明正处在开发的活跃阶段。上传到VirusTotal的样本表明,利用这种威胁的第一次入侵可能在2020年5月就已经发生。

ESET研究员Vladislav Hrčka表示:FontOnLake具有隐蔽性,加上先进的设计和低流行率,目前被用于有针对性的攻击。为了收集数据或进行其他恶意活动,这类恶意软件使用修改后的合法二进制文件,这些文件经过调整以加载更多组件。此外,为了隐藏自身的存在,FontOnLak总是伴随着一个 rootkit。这些二进制文件通常在Linux系统上使用,并且还可以作为一种持久性机制。

FontOnLake的工具集包括三个组件,它们由合法 Linux 实用程序的木马化版本组成,用于加载内核模式的rootkits和用户模式的后门,所有这些都使用虚拟文件相互通信。基于C++的植入程序本身旨在监控系统、在网络上秘密执行命令以及泄露帐户凭据。

该后门的第二个变体还具有充当代理、操作文件、下载任意文件的功能,而第三个变体除了结合其他两个后门的功能外,还可以执行Python脚本和shell命令。

ESET表示发现了两个不同版本的Linux rootkit,它们基于一个名为Suterusu的开源项目,在功能上有重叠之处,除了能隐藏自身外,还包括隐藏进程、文件、网络连接,同时还能够执行文件操作,提取并执行用户模式的后门。

目前尚不清楚攻击者如何获得对网络的初始访问权限,但网络安全公司指出,攻击者非常谨慎,通过依赖不同且独特的命令和控制 (C2) ,避免在具有不同非标准端口的服务器上留下任何痕迹,以至于在VirusTotal工件中观察到的所有 C2 服务器都不再处于活动状态。

“它们的规模和先进的设计表明作者精通网络安全,这些工具可能会在未来的活动中重复使用,”Hrčka说。“由于大多数功能旨在隐藏其存在、中继通信和提供后门访问,我们认为这些工具主要为其它恶意攻击提供服务支撑。”

参考来源:https://thehackernews.com/2021/10/researchers-warn-of-fontonlake-rootkit.html

恶意软件FontOnLake Rootkit正在威胁Linux系统





精彩推荐






恶意软件FontOnLake Rootkit正在威胁Linux系统

恶意软件FontOnLake Rootkit正在威胁Linux系统

恶意软件FontOnLake Rootkit正在威胁Linux系统

恶意软件FontOnLake Rootkit正在威胁Linux系统恶意软件FontOnLake Rootkit正在威胁Linux系统

原文始发于微信公众号(FreeBuf):恶意软件FontOnLake Rootkit正在威胁Linux系统

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月23日11:05:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  恶意软件FontOnLake Rootkit正在威胁Linux系统 http://cn-sec.com/archives/578691.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: