研究人员警告FontOnLake Rootkit恶意软件针对Linux系统
相关标签:
#网络安全研究人员详细介绍了一项新的活动,该活动可能针对东南亚的实体,这些实体有一个以前未被识别的Linux恶意软件,该软件的设计目的是,除了收集凭据和充当代理服务器外,还可以远程访问其运营商
被斯洛伐克网络安全公司ESET的恶意软件家族,据说拥有“精心设计的模块”,这些模块正在不断升级,具有广泛的功能,这表明其处于积极的开发阶段。上传到VirusTotal的样本表明,最早利用这种威胁的入侵可能早在2020年5月就发生了#Avast和Lacework实验室正在追踪名为HCRootkit的同一恶意软件
“FontOnLake工具的偷偷摸摸性质,再加上先进的设计和低流行率,表明它们被用于有针对性的攻击,”ESET研究员弗拉迪斯拉夫·赫卡说。“为了收集数据或进行其他恶意活动,该恶意软件家族使用经过修改的合法二进制文件,这些二进制文件经过调整以加载更多组件。事实上,为了隐藏其存在,FontOnLake的存在总是伴随着一个rootkit。这些二进制文件通常在Linux系统上使用,还可以作为持久性机制。”
FontOnLake的工具集包括三个组件,它们由合法Linux实用程序的特洛伊木马版本组成,用于加载内核模式的rootkit和用户模式后门,所有这些都使用虚拟文件彼此通信。基于C++的植入物本身被设计用于监视系统、在网络上秘密执行命令,以及过滤帐户凭据
后门的第二个变体还具有代理、操作文件、下载任意文件的功能,而第三个变体除了包含其他两个后门的功能外,还配备了执行Python脚本和shell命令的功能
ESET表示,他们发现了两个不同版本的Linux rootkit,它们基于一个名为Suterusu的开源项目,在功能上存在重叠,包括隐藏进程、文件、网络连接和自身,同时还能够执行文件操作、提取和执行用户模式后门
目前尚不清楚攻击者如何获得对网络的初始访问,但这家网络安全公司指出,这些攻击背后的威胁行为人“过于谨慎”,通过依赖不同的、唯一的、具有不同非标准端口的指挥与控制(C2)服务器来避免留下任何痕迹。在VirusTotal工件中观察到的所有C2服务器都不再处于活动状态
“他们的规模和先进的设计表明,作者对网络安全非常精通,这些工具可能会在未来的活动中重复使用,”Hrčka说。“由于大多数功能的设计只是为了隐藏其存在、中继通信和提供后门访问,我们认为这些工具主要用于维护一个服务于其他未知恶意目的的基础设施。”
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
