针对Linux系统的FontOnLake Rootkit 恶意软件曝光！

网络安全研究人员详细介绍了一项可能针对东南亚的新攻击活动，该攻击活动可能使用以前无法识别的 Linux 恶意软件，除了收集凭据和充当代理服务器外，还可以远程访问恶意程序服务端。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，该恶意软件家族被称为“ FontOnLake ”，据说具有精心设计的模块，这些模块不断升级，具有多种多样的功能，表明该恶意程序处于活跃的开发阶段。上传到 VirusTotal 的样本表明，利用这种威胁的第一次入侵可能早在 2020 年 5 月就发生了。

安全研究人员称，FontOnLake 工具的偷偷摸摸的性质，加上先进的设计和低流行率，表明它们被用于有针对性的攻击。为了收集数据或进行其他恶意活动，这个恶意软件家族使用修改后的合法二进制文件，这些文件经过调整以加载更多组件。实际上，为了隐藏它的存在，FontOnLake 的存在总是伴随着一个 rootkit。这些二进制文件通常用于 Linux 系统并且还可以作为一种持久性机制。

FontOnLake 的工具集包括三个组件，它们由合法 Linux 实用程序的木马化版本组成，这些实用程序用于加载内核模式 rootkit 和用户模式后门，所有这些都使用虚拟文件相互通信。基于 C++ 的植入程序本身旨在监控系统、在网络上秘密执行命令以及泄露帐户凭据。

后门的第二个变体还具有充当代理、操作文件、下载任意文件的功能，而第三个变体除了结合其他两个后门的功能外，还可以执行 Python 脚本和 shell 命令。

安全研究人员发现了两个不同版本的 Linux rootkit，它们基于一个名为Suterusu的开源项目，并部分功能重叠，包括隐藏进程、文件、网络连接和自身，同时还能够执行文件操作，并且提取并执行用户模式后门。

目前尚不清楚攻击者如何获得对网络的初始访问权限，但网络安全公司指出，攻击背后的威胁行为者非常谨慎，通过依赖不同的、独特的命令和控制 (C2) 来避免留下任何痕迹具有不同非标准端口的服务器。在 VirusTotal 工具中观察到的所有 C2 服务器都不再处于活动状态。