FontOnLake Malware

Infosec -forskere har afsløret en tidligere ukendt familie af malware -trusler. Disse nye truende kreationer er kendetegnet ved at have specialbyggede moduler, der er under aktiv udvikling. Navnet givet til denne nyetablerede malware -familie er FontOnLake, og det ser ud til hovedsageligt at være rettet mod Linux -systemer. Angribernes mål er at etablere bagdørsadgang til den kompromitterede maskine og indsamle følsomme data, såsom brugeroplysninger.

Trusselsaktøren lægger stor vægt på at forblive ubemærket. De brugte hovedsageligt C/C ++ og flere tredjepartsbiblioteker, herunder Boost, Poco og Protobuf, da de oprettede FontOnLake-truslerne. Operationer, der involverer denne malware -familie, ser også ud til at være meget målrettede og fokuserede på regionen Sydøstasien

FontOnLake -struktur

FontOnLake bruger flere teknikker til at forblive skjult og øge sine chancer for at undgå opdagelse. Det anvender legitime binærfiler, der ændres til at indlæse beskadigede komponenter. FontOnLake ledsages også altid af et rootkit, der er installeret på den inficerede maskine. Som helhed kan de observerede komponenter i denne malware -familie opdeles i tre forskellige kategorier - trojaniserede applikationer, bagdøre og rootkits.

Hver har en særlig rolle. De våbnede applikationer består af legitime binærfiler, der er omprogrammeret til at udføre ondsindede aktiviteter, såsom indsamling af data eller levering af yderligere moduler.Bagdørene bruges naturligvis af angriberne som de vigtigste kommunikationskanaler, mens rootkitsne integrerer sig selv på systemets kerneniveau og hjælper med at skjule truslens handlinger, lette opdateringer eller fungere som backback -døre.

Detekterede komponentvarianter

Flere våbnede applikationer blev opdaget af forskerne. Disse var alle standard Linux -værktøjer, der er blevet ændret for at indsamle data eller indlæse de brugerdefinerede bagdøre eller rootkit -komponenter. Fordi de typisk udføres ved systemstart, kan de også fungere som persistensmekanismer.

De forskellige bagdøre er hidtil blevet observeret anvendt i FontOnLake -angreb. De anvender biblioteker fra Boost, Poco, Rrotobuf og nogle funktioner fra STL, herunder smarte tips. Bagdørene viser visse overlapninger i funktionalitet, såsom at kunne eksfiltrere indsamlede data, manipulere filsystemet, fungere som en proxy og udføre vilkårlige kommandoer.

To separate FontOnLake rootkits er blevet identificeret indtil videre. Begge er baseret på suterusu open source-projektet, men indeholder flere specialfremstillede teknikker. De to versioner adskiller sig fra hinandentilstrækkeligt, men de overlapper også visse funktioner. Begge er i stand til at skjule processer og filer, maskere netværksforbindelser, videresende port, modtage særlige datapakker fra angriberne og levere de indsamlede legitimationsoplysninger til bagdøren for eksfiltrering.