Threat Database Backdoors FontOnLake Malware

FontOnLake Malware

Badacze Infosec odkryli nieznaną wcześniej rodzinę zagrożeń złośliwym oprogramowaniem. Te nowe groźne kreacje charakteryzują się posiadaniem niestandardowych modułów, które są aktywnie rozwijane. Nazwa nadana tej nowo powstałej rodzinie złośliwego oprogramowania to FontOnLake i wydaje się, że atakuje ona głównie systemy Linux. Celem atakujących jest uzyskanie dostępu do zaatakowanej maszyny backdoorem i zebranie poufnych danych, takich jak poświadczenia użytkownika.

Aktor zagrożenia kładzie duży nacisk na pozostanie niezauważonym. Podczas tworzenia zagrożeń FontOnLake używali głównie C/C++ i kilku bibliotek innych firm, w tym Boost, Poco i Protobuf. Operacje z udziałem tej rodziny złośliwego oprogramowania również wydają się być silnie ukierunkowane i skoncentrowane na regionie Azji Południowo-Wschodniej

FontOnLake Struktura

FontOnLake używa wielu technik, aby pozostać ukrytym i zwiększyć swoje szanse na uniknięcie wykrycia. Wykorzystuje legalne pliki binarne, które są modyfikowane w celu załadowania uszkodzonych komponentów. FontOnLake również zawsze towarzyszy rootkitowi, który jest wdrażany na zainfekowanej maszynie. Ogólnie rzecz biorąc, obserwowane komponenty tej rodziny szkodliwego oprogramowania można podzielić na trzy różne kategorie - aplikacje strojanizowane, backdoory i rootkity.

Każdemu przypada odrębna rola. Uzbrojone aplikacje składają się z legalnych plików binarnych, które są przeprogramowane w celu wykonywania szkodliwych działań, takich jak zbieranie danych lub dostarczanie dodatkowych modułów.Naturalnie backdoory są wykorzystywane przez atakujących jako główne kanały komunikacji, podczas gdy rootkity osadzają się na poziomie jądra systemu i pomagają w ukrywaniu działań zagrożenia, ułatwiają aktualizacje lub działają jako backdoory awaryjne.

Wykryte warianty komponentów

Naukowcy odkryli wiele uzbrojonych zastosowań. Były to wszystkie standardowe narzędzia Linuksa, które zostały zmodyfikowane w celu zbierania danych lub ładowania niestandardowych komponentów backdoora lub rootkita. Ponieważ są one zazwyczaj wykonywane przy starcie systemu, mogą również służyć jako mechanizmy trwałości.

Do tej pory zaobserwowano, że w atakach FontOnLake wykorzystywane są różne backdoory. Wykorzystują biblioteki z Boost, Poco, Rrotobuf i niektóre funkcje STL, w tym inteligentne wskaźniki. Backdoory wykazują pewne nakładanie się funkcjonalności, takie jak możliwość eksfiltracji zebranych danych, manipulowania systemem plików, działania jako proxy i wykonywania arbitralnych poleceń.

Do tej pory zidentyfikowano dwa oddzielne rootkity FontOnLake. Oba są oparte na projekcie open-source suterusu, ale zawierają kilka niestandardowych technik. Te dwie wersje różnią się od siebiew wystarczającym stopniu, ale również pokrywają się w niektórych funkcjach. Oba są w stanie ukrywać procesy i pliki, maskować połączenia sieciowe, przekierowywać porty, odbierać specjalne pakiety danych od atakujących i dostarczać zebrane dane uwierzytelniające do backdoora w celu eksfiltracji.

Popularne

Najczęściej oglądane

Ładowanie...