FontOnLake 멀웨어

Infosec 연구원은 이전에 알려지지 않은 악성코드 위협군을 발견했습니다. 이 위협적인 새로운 창조물은 현재 개발 중인 맞춤형 모듈이 있는 것이 특징입니다. 새로 설립된 이 악성코드 패밀리에 부여된 이름은 FontOnLake이며 대부분 Linux 시스템을 대상으로 하는 것으로 보입니다. 공격자의 목표는 손상된 시스템에 대한 백도어 액세스를 설정하고 사용자 자격 증명과 같은 민감한 데이터를 수집하는 것입니다.

위협 행위자는 눈에 띄지 않는 상태를 유지하는 데 상당한 중점을 둡니다. 그들은 FontOnLake 위협을 생성할 때 주로 C/C++ 및 Boost, Poco 및 Protobuf를 포함한 여러 타사 라이브러리를 사용했습니다. 이 맬웨어 계열과 관련된 작업도 동남아시아 지역을 표적으로 삼고 집중하는 것으로 보입니다.

FontOnLake 구조

FontOnLake는 여러 기술을 사용하여 숨겨진 상태를 유지하고 탐지를 피할 가능성을 높입니다. 손상된 구성 요소를 로드하기 위해 수정되는 합법적인 바이너리를 활용합니다. FontOnLake는 또한 항상 감염된 시스템에 배포된 루트킷을 동반합니다. 전체적으로 이 악성코드군의 관찰된 구성 요소는 트로이 목마 애플리케이션, 백도어 및 루트킷의 세 가지 범주로 나눌 수 있습니다.

각각은 고유한 역할을 담당합니다. 무기화된 애플리케이션은 데이터 수집 또는 추가 모듈 전달과 같은 악의적인 활동을 수행하도록 재프로그래밍된 합법적인 바이너리로 구성됩니다.당연히 백도어는 공격자가 주요 통신 채널로 사용하는 반면 루트킷은 시스템의 커널 수준에 내장되어 위협 행위를 위장하거나 업데이트를 촉진하거나 폴백 백도어 역할을 합니다.

감지된 구성 요소 변형

여러 무기화 응용 프로그램이 연구원에 의해 발견되었습니다. 이들은 모두 데이터를 수집하거나 사용자 정의 백도어 또는 루트킷 구성 요소를 로드하도록 수정된 표준 Linux 유틸리티였습니다. 일반적으로 시스템 시작 시 실행되기 때문에 지속성 메커니즘으로도 사용할 수 있습니다.

지금까지 다양한 백도어가 FontOnLake 공격에 사용되는 것으로 관찰되었습니다. 그들은 Boost, Poco, Rrotobuf의 라이브러리와 스마트 포인터를 포함한 STL의 일부 기능을 사용합니다. 백도어는 수집된 데이터를 추출하고, 파일 시스템을 조작하고, 프록시로 작동하고, 임의의 명령을 실행할 수 있는 것과 같은 기능에서 특정 중복을 표시합니다.

두 개의 개별 FontOnLake 루트킷이 지금까지 식별되었습니다. 둘 다 suterusu 오픈 소스 프로젝트를 기반으로 하지만 몇 가지 맞춤형 기술이 포함되어 있습니다. 두 버전은 서로 다릅니다충분하지만 특정 기능에서도 겹칩니다. 둘 다 프로세스와 파일을 숨기고, 네트워크 연결을 마스킹하고, 포트 포워딩을 하고, 공격자로부터 특수 데이터 패킷을 수신하고, 수집된 자격 증명을 백도어로 전달하여 유출할 수 있습니다.