FontOnLake Malware

Infosec-onderzoekers hebben een voorheen onbekende familie van malwarebedreigingen ontdekt. Deze nieuwe dreigende creaties worden gekenmerkt door het hebben van op maat gemaakte modules die in actieve ontwikkeling zijn. De naam die aan deze nieuw opgerichte malwarefamilie is gegeven, is FontOnLake en lijkt zich voornamelijk op Linux-systemen te richten. Het doel van de aanvallers is om via een achterdeur toegang te krijgen tot de gecompromitteerde machine en gevoelige gegevens te verzamelen, zoals gebruikersreferenties.

De dreigingsactor legt veel nadruk op onopgemerkt blijven. Ze gebruikten voornamelijk C/C++ en verschillende bibliotheken van derden, waaronder Boost, Poco en Protobuf bij het maken van de FontOnLake-bedreigingen. De operaties waarbij deze malwarefamilie betrokken is, lijken ook zeer gericht en gericht op de regio Zuidoost-Azië

FontOnLake-structuur

FontOnLake gebruikt meerdere technieken om verborgen te blijven en de kans op detectie te vergroten. Het maakt gebruik van legitieme binaire bestanden die worden aangepast om beschadigde componenten te laden. FontOnLake gaat ook altijd gepaard met een rootkit die op de geïnfecteerde machine wordt geïmplementeerd. Als geheel kunnen de waargenomen componenten van deze malwarefamilie worden onderverdeeld in drie verschillende categorieën: getrojaanse applicaties, backdoors en rootkits.

Elk heeft een specifieke rol. De bewapende applicaties bestaan uit legitieme binaire bestanden die opnieuw zijn geprogrammeerd om kwaadaardige activiteiten uit te voeren, zoals het verzamelen van gegevens of het leveren van extra modules.Uiteraard worden de achterdeuren door de aanvallers gebruikt als de belangrijkste communicatiekanalen, terwijl de rootkits zichzelf insluiten op het kernelniveau van het systeem en helpen bij het verbergen van de acties van de dreiging, het vergemakkelijken van updates of fungeren als achterdeurtjes.

Gedetecteerde componentvarianten

Meerdere bewapende toepassingen werden ontdekt door de onderzoekers. Dit waren allemaal standaard Linux-hulpprogramma's die zijn aangepast om gegevens te verzamelen of de aangepaste backdoor- of rootkit-componenten te laden. Omdat ze doorgaans worden uitgevoerd bij het opstarten van het systeem, kunnen ze ook dienen als persistentiemechanismen.

Er is tot nu toe waargenomen dat de verschillende achterdeuren worden gebruikt bij FontOnLake-aanvallen. Ze gebruiken bibliotheken van Boost, Poco, Rrotobuf en enkele functies van STL, waaronder slimme aanwijzers. De backdoors vertonen bepaalde overlappingen in functionaliteit, zoals het kunnen exfiltreren van verzamelde gegevens, het manipuleren van het bestandssysteem, fungeren als een proxy en het uitvoeren van willekeurige commando's.

Tot nu toe zijn er twee afzonderlijke FontOnLake-rootkits geïdentificeerd. Beide zijn gebaseerd op het open source-project suterusu, maar bevatten verschillende op maat gemaakte technieken. De twee versies zijn verschillend van elkaarvoldoende, maar ze overlappen ook in bepaalde functionaliteiten. Beiden zijn in staat om processen en bestanden te verbergen, netwerkverbindingen te maskeren, poort door te sturen, speciale datapakketten van de aanvallers te ontvangen en de verzamelde inloggegevens naar de achterdeur af te leveren voor ondervraging.