FontOnLake Вредоносное ПО

Исследователи Infosec обнаружили ранее неизвестное семейство вредоносных программ. Эти новые опасные творения характеризуются наличием специализированных модулей, которые находятся в активной разработке. Это недавно созданное семейство вредоносных программ называется FontOnLake и, по всей видимости, нацелено в основном на системы Linux. Цель злоумышленников - установить бэкдор-доступ к скомпрометированной машине и собрать конфиденциальные данные, такие как учетные данные пользователя.

Злоумышленник уделяет большое внимание тому, чтобы оставаться незамеченным. При создании угроз FontOnLake они использовали в основном C / C ++ и несколько сторонних библиотек, включая Boost, Poco и Protobuf. Операции, связанные с этим семейством вредоносных программ, также, по всей видимости, являются целенаправленными и ориентированными на регион Юго-Восточной Азии.

Структура FontOnLake

FontOnLake использует несколько методов, чтобы оставаться скрытым и повышать свои шансы избежать обнаружения. Он использует законные двоичные файлы, которые изменяются для загрузки поврежденных компонентов. FontOnLake также всегда сопровождается руткитом, который развертывается на зараженной машине. В целом наблюдаемые компоненты этого семейства вредоносных программ можно разделить на три разные категории: троянизированные приложения, бэкдоры и руткиты.

Каждому отводится отдельная роль. Вооруженные приложения состоят из законных двоичных файлов, которые перепрограммированы для выполнения злонамеренных действий, таких как сбор данных или доставка дополнительных модулей.Естественно, злоумышленники используют бэкдоры в качестве основных каналов связи, в то время как руткиты встраиваются на уровень ядра системы и помогают скрыть действия угрозы, способствуют обновлению или действуют как резервные бэкдоры.

Обнаруженные варианты компонентов

Исследователи обнаружили множество оружейных приложений. Все это были стандартные утилиты Linux, которые были модифицированы для сбора данных или загрузки пользовательских компонентов бэкдора или руткита. Поскольку они обычно выполняются при запуске системы, они также могут служить механизмами сохранения.

До сих пор в атаках FontOnLake использовались различные бэкдоры. Они используют библиотеки Boost, Poco, Rrotobuf и некоторые функции из STL, включая интеллектуальные указатели. Бэкдоры отображают определенные совпадения в функциональности, такие как возможность извлекать собранные данные, манипулировать файловой системой, действовать как прокси и выполнять произвольные команды.

На данный момент идентифицированы два отдельных руткита FontOnLake. Оба основаны на проекте с открытым исходным кодом suterusu, но включают в себя несколько специально разработанных техник. Две версии отличаются друг от другав достаточной степени, но они также частично совпадают по определенным функциям. Оба способны скрывать процессы и файлы, маскировать сетевые подключения, переадресацию портов, получать специальные пакеты данных от злоумышленников и доставлять собранные учетные данные в бэкдор для взлома.