网络安全研究人员详细介绍了一项可能针对东南亚的新攻击活动,该攻击活动可能使用以前无法识别的 Linux 恶意软件,除了收集凭据和充当代理服务器外,还可以远程访问恶意程序服务端。
根据网络安全行业门户极牛网GEEKNB.COM的梳理,该恶意软件家族被称为“ FontOnLake ”,据说具有精心设计的模块,这些模块不断升级,具有多种多样的功能,表明该恶意程序处于活跃的开发阶段。上传到 VirusTotal 的样本表明,利用这种威胁的第一次入侵可能早在 2020 年 5 月就发生了。
安全研究人员称,FontOnLake 工具的偷偷摸摸的性质,加上先进的设计和低流行率,表明它们被用于有针对性的攻击。为了收集数据或进行其他恶意活动,这个恶意软件家族使用修改后的合法二进制文件,这些文件经过调整以加载更多组件。实际上,为了隐藏它的存在,FontOnLake 的存在总是伴随着一个 rootkit。这些二进制文件通常用于 Linux 系统并且还可以作为一种持久性机制。
FontOnLake 的工具集包括三个组件,它们由合法 Linux 实用程序的木马化版本组成,这些实用程序用于加载内核模式 rootkit 和用户模式后门,所有这些都使用虚拟文件相互通信。基于 C++ 的植入程序本身旨在监控系统、在网络上秘密执行命令以及泄露帐户凭据。
后门的第二个变体还具有充当代理、操作文件、下载任意文件的功能,而第三个变体除了结合其他两个后门的功能外,还可以执行 Python 脚本和 shell 命令。
安全研究人员发现了两个不同版本的 Linux rootkit,它们基于一个名为Suterusu的开源项目,并部分功能重叠,包括隐藏进程、文件、网络连接和自身,同时还能够执行文件操作,并且提取并执行用户模式后门。
目前尚不清楚攻击者如何获得对网络的初始访问权限,但网络安全公司指出,攻击背后的威胁行为者非常谨慎,通过依赖不同的、独特的命令和控制 (C2) 来避免留下任何痕迹具有不同非标准端口的服务器。在 VirusTotal 工具中观察到的所有 C2 服务器都不再处于活动状态。
极牛网精选文章《针对Linux系统的FontOnLake Rootkit 恶意软件曝光!》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16611.html