Зловреден софтуер FontOnLake

До Mezo през Backdoors, Malware, Rootkitsг

Превод на:

Изследователи на Infosec разкриха неизвестно преди това семейство заплахи за злонамерен софтуер. Тези нови заплашителни творения се характеризират с наличието на модули по поръчка, които са в процес на активно развитие. Името, дадено на това новосъздадено семейство зловреден софтуер, е FontOnLake и изглежда е насочено предимно към Linux системи. Целта на нападателите е да установят заден достъп до компрометираната машина и да събират чувствителни данни, като потребителски идентификационни данни.

Актьорът на заплахата поставя значителен акцент върху това да остане незабелязан. Те използваха предимно C/C ++ и няколко библиотеки на трети страни, включително Boost, Poco и Protobuf, когато създаваха заплахите FontOnLake. Операциите, включващи това семейство зловреден софтуер, също изглеждат силно насочени и фокусирани върху региона на Югоизточна Азия

Структура на FontOnLake

FontOnLake използва множество техники, за да остане скрит и да увеличи шансовете си да избегне откриването. Той използва законни двоични файлове, които се променят, за да заредят повредени компоненти. FontOnLake също винаги е придружен от руткит, който е разположен на заразената машина. Като цяло наблюдаваните компоненти на това семейство зловреден софтуер могат да бъдат разделени на три различни категории - троянизирани приложения, задни врати и руткитове.

На всеки е възложена отделна роля. Оръжейните приложения се състоят от законни двоични файлове, които се препрограмират за извършване на злонамерени дейности, като например събиране на данни или доставяне на допълнителни модули.Естествено, задните врати се използват от нападателите като основни комуникационни канали, докато руткитите се вграждат на нивото на ядрото на системата и помагат за прикриване на действията на заплахата, улесняват актуализациите или действат като резервни задни врати.

Открити варианти на компоненти

Изследователите са открили множество оръжейни приложения. Това бяха всички стандартни помощни програми за Linux, които са модифицирани за събиране на данни или зареждане на персонализирани компоненти на задната врата или руткит. Тъй като те обикновено се изпълняват при стартиране на системата, те също могат да служат като механизми за постоянство.

Досега се наблюдава, че различните задни врати се използват при атаки на FontOnLake. Те използват библиотеки от Boost, Poco, Rrotobuf и някои функции от STL, включително интелигентни указатели. Задните врати показват определени припокривания във функционалността, като например възможността да ексфилтрират събраните данни, да манипулират файловата система, да действат като прокси и да изпълняват произволни команди.

Досега са идентифицирани два отделни руткита FontOnLake. И двете са базирани на проекта с отворен код suterusu, но включват няколко персонализирани техники. Двете версии се различават една от другадостатъчно, но те се припокриват и в някои функционалности. И двете са способни да скрият процеси и файлове, да маскират мрежовите връзки, пренасочване на портове, получаване на специални пакети данни от нападателите и доставяне на събраните идентификационни данни на задната врата за ексфилтрация.