FontOnLake Malware

Infosec araştırmacıları, daha önce bilinmeyen bir kötü amaçlı yazılım tehdidi ailesini ortaya çıkardı. Bu yeni tehdit edici kreasyonlar, aktif olarak geliştirilmekte olan özel yapım modüllere sahip olmaları ile karakterize edilir. Yeni kurulan bu kötü amaçlı yazılım ailesine verilen isim FontOnLake ve daha çok Linux sistemlerini hedef alıyor gibi görünüyor. Saldırganların amacı, güvenliği ihlal edilmiş makineye arka kapı erişimi sağlamak ve kullanıcı kimlik bilgileri gibi hassas verileri toplamaktır.

Tehdit aktörü, fark edilmeden kalmaya büyük önem verir. FontOnLake tehditlerini oluştururken çoğunlukla C/C++ ve Boost, Poco ve Protobuf dahil olmak üzere çeşitli üçüncü taraf kitaplıkları kullandılar. Bu kötü amaçlı yazılım ailesini içeren operasyonlar da oldukça hedeflenmiş ve Güneydoğu Asya bölgesine odaklanmış görünüyor.

FontOnLake Yapısı

FontOnLake, gizli kalmak ve tespitten kaçınma şansını artırmak için birden fazla teknik kullanır. Bozuk bileşenleri yüklemek için değiştirilmekte olan meşru ikili dosyaları kullanır. FontOnLake'e ayrıca her zaman virüslü makineye dağıtılan bir kök kullanıcı takımı eşlik eder. Bir bütün olarak, bu kötü amaçlı yazılım ailesinin gözlemlenen bileşenleri üç farklı kategoriye ayrılabilir: truva atına maruz kalmış uygulamalar, arka kapılar ve kök kullanıcı takımları.

Her biri ayrı bir rol ile görevlendirilmiştir. Silahlaştırılmış uygulamalar, veri toplamak veya ek modüller sunmak gibi kötü amaçlı faaliyetler gerçekleştirmek üzere yeniden programlanan meşru ikili dosyalardan oluşur.Doğal olarak, arka kapılar saldırganlar tarafından ana iletişim kanalları olarak kullanılırken, rootkit'ler kendilerini sistemin çekirdek düzeyine yerleştirir ve tehdidin eylemlerini gizlemeye, güncellemeleri kolaylaştırmaya veya yedek arka kapılar olarak hareket etmeye yardımcı olur.

Algılanan Bileşen Varyantları

Araştırmacılar tarafından birden fazla silahlı uygulama keşfedildi. Bunların tümü, veri toplamak veya özel arka kapı veya rootkit bileşenlerini yüklemek için değiştirilmiş standart Linux yardımcı programlarıydı. Tipik olarak sistem başlangıcında yürütüldükleri için kalıcılık mekanizmaları olarak da hizmet edebilirler.

Şimdiye kadar FontOnLake saldırılarında farklı arka kapıların kullanıldığı gözlemlendi. Boost, Poco, Rrotobuf'tan kitaplıklar ve akıllı işaretçiler dahil olmak üzere STL'den bazı özellikler kullanırlar. Arka kapılar, toplanan verileri sızdırma, dosya sistemini manipüle etme, proxy olarak hareket etme ve isteğe bağlı komutları yürütme gibi işlevsellikte belirli örtüşmeler gösterir.

Şimdiye kadar iki ayrı FontOnLake rootkit tanımlanmıştır. Her ikisi de suterusu açık kaynak projesine dayanmaktadır ancak birkaç özel yapım teknik içermektedir. İki versiyon birbirinden farklıyeterince, ancak aynı zamanda belirli işlevlerde de örtüşürler. Her ikisi de süreçleri ve dosyaları gizleme, ağ bağlantılarını maskeleme, bağlantı noktası iletme, saldırganlardan özel veri paketleri alma ve toplanan kimlik bilgilerini sızma için arka kapıya gönderme yeteneğine sahiptir.