Осторожно! Вредоносное ПО FontOnLake Rootkit нацелено на системы Linux
Стало известно о новой кампании, нацеленной на организации в Юго-Восточной Азии, которая использует ранее неизвестное вредоносное ПО для Linux. Вредонос разработан для обеспечения удаленного доступа к своим операторам, а также для сбора учетных данных и работы в качестве прокси-сервера.
Семейство вредоносных программ назван нашим партнером ESET как «FontOnLake». ВПО включает хорошо спроектированные модули, которые постоянно обновляются с широким спектром возможностей, что указывает на активную фазу разработки. Образцы, загруженные на VirusTotal, указывают на возможность того, что самые первые вторжения с использованием этой угрозы произошли еще в мае 2020 года.
Набор инструментов FontOnLake включает три компонента, которые состоят из троянских версий законных утилит Linux. Они используются для загрузки руткитов режима ядра и бэкдоров пользовательского режима, все из которых взаимодействуют друг с другом с помощью виртуальных файлов. Сами имплантаты на основе C ++ предназначены для мониторинга систем, тайного выполнения команд в сетях и извлечения учетных данных.
Вторая перестановка бэкдора предоставляет следующие возможности:
- действовать как прокси,
- манипулировать файлами,
- загружать произвольные файлы.
А третий вариант, помимо включения функций из двух других бэкдоров, оборудован для выполнения скриптов Python и команд оболочки.
Компания ESET заявила, что обнаружила две разные версии руткита Linux, основанного на проекте с открытым исходным кодом под названием Suterusu, и имеет общие дублирующие функции, включая скрытие процессов, файлов, сетевых подключений и самого себя, а также возможность выполнять файловые операции и извлечь и запустить бэкдор пользовательского режима.
В настоящее время неизвестно, как злоумышленники получают первоначальный доступ к сети, но киберпреступник, стоящий за атаками, не оставляет следов, полагаясь на разные уникальные системы управления и контроля (C2). Все серверы C2, обнаруженные в артефактах VirusTotal, больше не активны.
