斯洛伐克网络安全公司 ESET称这类恶意软件为“FontOnLake”,拥有精心设计且不断升级的模块,表明正处在开发的活跃阶段。上传到VirusTotal的样本表明,利用这种威胁的第一次入侵可能在2020年5月就已经发生。
ESET研究员Vladislav Hr?ka表示:FontOnLake具有隐蔽性,加上先进的设计和低流行率,目前被用于有针对性的攻击。为了收集数据或进行其他恶意活动,这类恶意软件使用修改后的合法二进制文件,这些文件经过调整以加载更多组件。此外,为了隐藏自身的存在,FontOnLak总是伴随着一个 rootkit。这些二进制文件通常在Linux系统上使用,并且还可以作为一种持久性机制。
FontOnLake的工具集包括三个组件,它们由合法 Linux 实用程序的木马化版本组成,用于加载内核模式的rootkits和用户模式的后门,所有这些都使用虚拟文件相互通信。基于C++的植入程序本身旨在监控系统、在网络上秘密执行命令以及泄露帐户凭据。
ESET表示发现了两个不同版本的Linux rootkit,它们基于一个名为Suterusu的开源项目,在功能上有重叠之处,除了能隐藏自身外,还包括隐藏进程、文件、网络连接,同时还能够执行文件操作,提取并执行用户模式的后门。
目前尚不清楚攻击者如何获得对网络的初始访问权限,但网络安全公司指出,攻击者非常谨慎,通过依赖不同且独特的命令和控制 (C2) ,避免在具有不同非标准端口的服务器上留下任何痕迹,以至于在VirusTotal工件中观察到的所有 C2 服务器都不再处于活动状态。
“它们的规模和先进的设计表明作者精通网络安全,这些工具可能会在未来的活动中重复使用,”Hr?ka说。“由于大多数功能旨在隐藏其存在、中继通信和提供后门访问,我们认为这些工具主要为其它恶意攻击提供服务支撑。”
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
