FontOnLake Malware

I ricercatori di Infosec hanno scoperto una famiglia di minacce malware precedentemente sconosciuta. Queste nuove creazioni minacciose sono caratterizzate dall'avere moduli personalizzati che sono in fase di sviluppo attivo. Il nome dato a questa famiglia di malware di nuova costituzione è FontOnLake e sembra mirare principalmente ai sistemi Linux. L'obiettivo degli aggressori è stabilire un accesso backdoor alla macchina compromessa e raccogliere dati sensibili, come le credenziali dell'utente.

L'attore della minaccia pone un'enfasi significativa sul rimanere inosservato. Hanno usato principalmente C/C++ e diverse librerie di terze parti tra cui Boost, Poco e Protobuf durante la creazione delle minacce FontOnLake. Anche le operazioni che coinvolgono questa famiglia di malware sembrano essere altamente mirate e concentrate nella regione del sud-est asiatico

Struttura FontOnLake

FontOnLake utilizza più tecniche per rimanere nascosto e aumentare le sue possibilità di evitare il rilevamento. Utilizza binari legittimi che vengono modificati per caricare componenti danneggiati. FontOnLake è inoltre sempre accompagnato da un rootkit che viene distribuito sulla macchina infetta. Nel complesso, i componenti osservati di questa famiglia di malware possono essere suddivisi in tre diverse categorie: applicazioni trojanizzate, backdoor e rootkit.

Ognuno ha il compito di un ruolo distinto. Le applicazioni armate sono costituite da binari legittimi che vengono riprogrammati per eseguire attività dannose, come raccogliere dati o fornire moduli aggiuntivi.Naturalmente, le backdoor vengono utilizzate dagli aggressori come principali canali di comunicazione, mentre i rootkit si integrano a livello di kernel del sistema e aiutano a mascherare le azioni della minaccia, facilitano gli aggiornamenti o fungono da backdoor di fallback.

Varianti dei componenti rilevati

Molteplici applicazioni armate sono state scoperte dai ricercatori. Queste erano tutte utilità Linux standard che sono state modificate per raccogliere dati o caricare i componenti backdoor o rootkit personalizzati. Poiché vengono in genere eseguiti all'avvio del sistema, possono anche fungere da meccanismi di persistenza.

Finora è stato osservato che le diverse backdoor vengono utilizzate negli attacchi FontOnLake. Impiegano librerie di Boost, Poco, Rrotobuf e alcune funzionalità di STL, inclusi i puntatori intelligenti. Le backdoor mostrano alcune sovrapposizioni di funzionalità, come essere in grado di estrarre i dati raccolti, manipolare il file system, agire come proxy ed eseguire comandi arbitrari.

Finora sono stati identificati due rootkit FontOnLake separati. Entrambi sono basati sul progetto open source suterusu ma includono diverse tecniche personalizzate. Le due versioni sono distinte l'una dall'altrasufficientemente, ma si sovrappongono anche in alcune funzionalità. Entrambi sono in grado di nascondere processi e file, mascherare le connessioni di rete, inoltrare porte, ricevere pacchetti di dati speciali dagli aggressori e consegnare le credenziali raccolte alla backdoor per l'esfiltrazione.