FontOnLake Malware

Infosec -forskare har avslöjat en tidigare okänd familj av skadliga hot. Dessa nya hotande skapelser kännetecknas av att de har specialbyggda moduler som är under aktiv utveckling. Namnet på denna nyetablerade skadliga familjefamilj är FontOnLake och det verkar mest riktas mot Linux -system. Angriparnas mål är att etablera bakdörråtkomst till den komprometterade maskinen och samla in känslig data, till exempel användaruppgifter.

Hotaktören lägger stor vikt vid att förbli obemärkt. De använde mestadels C/C ++ och flera tredjepartsbibliotek inklusive Boost, Poco och Protobuf när de skapade FontOnLake-hoten. Operationerna som involverar denna malware -familj verkar också vara mycket riktade och fokuserade på regionen Sydostasien

FontOnLake -struktur

FontOnLake använder flera tekniker för att förbli dolda och öka sina chanser att undvika upptäckt. Den använder legitima binärer som modifieras för att ladda skadade komponenter. FontOnLake åtföljs också alltid av en rootkit som distribueras på den infekterade datorn. Som helhet kan de observerade komponenterna i denna malware -familj delas upp i tre olika kategorier - trojaniserade applikationer, bakdörrar och rootkits.

Var och en har en särskild roll. De vapenstillämpade programmen består av legitima binärer som är omprogrammerade för att utföra skadliga aktiviteter, som att samla in data eller leverera ytterligare moduler.Bakdörrarna används naturligtvis av angriparna som de viktigaste kommunikationskanalerna, medan rootkitsna bäddar in sig på systemets kärnnivå och hjälper till att dölja hotets handlingar, underlätta uppdateringar eller fungera som backback -dörrar.

Detekterade komponentvarianter

Flera vapenstillämpade applikationer upptäcktes av forskarna. Dessa var alla vanliga Linux -verktyg som har modifierats för att samla in data eller ladda de anpassade bakdörren eller rootkit -komponenterna. Eftersom de vanligtvis utförs vid systemstart kan de också fungera som uthållighetsmekanismer.

De olika bakdörrarna har hittills observerats användas i FontOnLake -attacker. De använder bibliotek från Boost, Poco, Rrotobuf och några funktioner från STL inklusive smarta pekare. Bakdörrarna visar vissa överlappningar i funktionalitet, till exempel att kunna exfiltrera insamlad data, manipulera filsystemet, fungera som en proxy och utföra godtyckliga kommandon.

Två separata FontOnLake rootkits har hittats hittills. Båda är baserade på suterusu open-source-projektet men innehåller flera skräddarsydda tekniker. De två versionerna skiljer sig från varandratillräckligt, men de överlappar också vissa funktioner. Båda kan dölja processer och filer, maskera nätverksanslutningar, vidarebefordra portar, ta emot speciella datapaket från angriparna och leverera de insamlade uppgifterna till bakdörren för exfiltrering.