Осторожно! Вредоносное ПО FontOnLake Rootkit нацелено на системы Linux

Cloud Networks > Новости > Осторожно! Вредоносное ПО FontOnLake Rootkit нацелено на системы Linux
12.10.2021

Осторожно! Вредоносное ПО FontOnLake Rootkit нацелено на системы Linux

Стало известно о новой кампании, нацеленной на организации в Юго-Восточной Азии, которая использует ранее неизвестное вредоносное ПО для Linux. Вредонос разработан для обеспечения удаленного доступа к своим операторам, а также для сбора учетных данных и работы в качестве прокси-сервера.

Семейство вредоносных программ назван нашим партнером ESET как «FontOnLake». ВПО включает хорошо спроектированные модули, которые постоянно обновляются с широким спектром возможностей, что указывает на активную фазу разработки. Образцы, загруженные на VirusTotal, указывают на возможность того, что самые первые вторжения с использованием этой угрозы произошли еще в мае 2020 года.

Набор инструментов FontOnLake включает три компонента, которые состоят из троянских версий законных утилит Linux. Они используются для загрузки руткитов режима ядра и бэкдоров пользовательского режима, все из которых взаимодействуют друг с другом с помощью виртуальных файлов. Сами имплантаты на основе C ++ предназначены для мониторинга систем, тайного выполнения команд в сетях и извлечения учетных данных.

Вторая перестановка бэкдора предоставляет следующие возможности:

  • действовать как прокси,
  • манипулировать файлами,
  • загружать произвольные файлы.

А третий вариант, помимо включения функций из двух других бэкдоров, оборудован для выполнения скриптов Python и команд оболочки.

Компания ESET заявила, что обнаружила две разные версии руткита Linux, основанного на проекте с открытым исходным кодом под названием Suterusu, и имеет общие дублирующие функции, включая скрытие процессов, файлов, сетевых подключений и самого себя, а также возможность выполнять файловые операции и извлечь и запустить бэкдор пользовательского режима.

В настоящее время неизвестно, как злоумышленники получают первоначальный доступ к сети, но киберпреступник, стоящий за атаками, не оставляет следов, полагаясь на разные уникальные системы управления и контроля (C2). Все серверы C2, обнаруженные в артефактах VirusTotal, больше не активны.

Мы не передадим ваши данные третьим лицам и не будем донимать спамом
to-top