بدافزار FontOnLake Rootkit به سیستم‌های لینوکس حمله می‌کند

نمونه‌های بدافزار بارگذاری شده در VirusTotal نشان می‌دهد که اولین نفوذ از طریق این تهدید ناشناخته قبلاً در ماه مه سال 2020 رخ‌داده است. Tencent ، Lacework Labs و Avast نیز با استفاده از نام HCRootkit این بدافزار را ردیابی می‌کنند.

به گفته محققان ESET ، اجزای بدافزار FontOnLake به سه گروه تقسیم می‌شوند: برنامه Trojamized ، Rootkit و Backdoor. محققان شرکت امنیت سایبری اسلواکی ESET یک خانواده بدافزار جدید را شناسایی کرده‌اند که از ماژول‌های سفارشی و خوب طراحی‌شده استفاده می‌کند.

در مقاله سفید ESET ‪[PDF]‬ ، محققان فاش کردند که بدافزار بانام بدافزار FontOnLake Rootkit سیستم‌های لینوکس را هدف قرار می‌دهد و ماژول‌های آن درحال‌توسعه فعال است.محققان در گزارش خود اشاره کردند که FontOnLake دارای "طبیعت زیرکانه" ، "طراحی پیشرفته" و "شیوع کم" است. بنابراین ، استفاده از این بدافزار در حملات هدفمند آسان‌تر است.

به گفته محقق ESET ولادیسلاو هروکا ، این امکان دسترسی از راه دور به مهاجمان را می‌دهد ، می‌تواند به‌عنوان یک سرور پروکسی عمل کند و اعتبارنامه‌ها را بدزدد. این خانواده بدافزار از "باینری‌های مشروع اصلاح‌شده" برای جمع‌آوری داده‌ها استفاده می‌کند و این باینری‌ها برای بارگیری اجزای بیشتر تنظیم‌شده‌اند. علاوه بر این ، برای عدم شناسایی ، بدافزار از روت کیت استفاده می‌کند. این دوتایی در سیستم‌های لینوکس استفاده می‌شود ، اما "می‌تواند به‌عنوان یک مکانیسم ماندگاری عمل کند" ، Hrčka در یک پست وبلاگ نوشت.

اهداف احتمالی

اطلاعات مربوط به محل سرور C&C و کشورهایی که نمونه‌ها در آن بارگذاری شده‌اند نشان می‌دهد که این کمپین کاربران جنوب شرقی آسیا را هدف قرار می‌دهد. محققان ESET در ادامه اظهار کردند که دو نسخه از روت کیت لینوکس را بر اساس پروژه منبع باز Suterusu کشف کرده‌اند و عملکردهای مشابهی را انجام می‌دهند ، مانند:

مخفی شدن فایل

خود را پنهان می‌کند

پنهان کردن فرآیند

انجام حمل‌ونقل پورت

مخفی کردن اتصالات شبکه

قرار دادن اعتبارنامه‌های جمع‌آوری‌شده به در پشتی آن

پذیرش بسته‌های جادویی (این بسته‌ها به روت کیت دستور می‌دهند که درب پشتی دیگری را بارگیری و اجرا کند)

"ما معتقدیم که اپراتورهای FontOnLake بسیار محتاط هستند زیرا تقریباً در همه نمونه‌هایی که مشاهده می‌شوند از سرورهای C&C منحصربه‌فرد با پورت‌های غیراستاندارد متفاوت استفاده می‌شود. نویسندگان بیشتر از C/C ++ و کتابخانه‌های مختلف شخص ثالث مانند Boost ، Poco یا Protobuf استفاده می‌کنند. هیچ‌یک از سرورهای C&C مورداستفاده در نمونه‌های بارگذاری شده در VirusTotal در زمان نوشتن فعال نبودند - که نشان می‌دهد به دلیل بارگذاری ممکن است غیرفعال شده باشند. "

اجزای شناخته‌شده

همان‌طور که در تصویر بالا نشان داده‌شده است ؛ اجزای شناخته‌شده بدافزار FontOnLake به سه گروه تقسیم می‌شوند: برنامه‌های تروجان شده باینری‌های مشروع اصلاح‌شده هستند که برای انجام طیف وسیعی از فعالیت‌های مخرب تنظیم‌شده‌اند.

component لفه دوم درهای پشتی حالت کاربر است که به‌عنوان نقطه اصلی ارتباط برای اپراتورهای بدافزار عمل می‌کند. ثالثاً ، دارای Rootkits است ، که اجزای حالت کرنل هستند که برای تهیه پشتیبان و کمک به‌روزرسانی استفاده می‌شوند. مقیاس و طراحی پیشرفته آن‌ها نشان می‌دهد که نویسندگان در امنیت سایبری مسلط هستند و ممکن است از این ابزارها در مبارزات آینده استفاده مجدد شود، محققان نتیجه گرفتند.

منبع: پلیس فتا