بدافزار FontOnLake Rootkit به سیستمهای لینوکس حمله میکند
نمونههای بدافزار بارگذاری شده در VirusTotal نشان میدهد که اولین نفوذ از طریق این تهدید ناشناخته قبلاً در ماه مه سال 2020 رخداده است. Tencent ، Lacework Labs و Avast نیز با استفاده از نام HCRootkit این بدافزار را ردیابی میکنند.
به گفته محققان ESET ، اجزای بدافزار FontOnLake به سه گروه تقسیم میشوند: برنامه Trojamized ، Rootkit و Backdoor. محققان شرکت امنیت سایبری اسلواکی ESET یک خانواده بدافزار جدید را شناسایی کردهاند که از ماژولهای سفارشی و خوب طراحیشده استفاده میکند.
در مقاله سفید ESET [PDF] ، محققان فاش کردند که بدافزار بانام بدافزار FontOnLake Rootkit سیستمهای لینوکس را هدف قرار میدهد و ماژولهای آن درحالتوسعه فعال است.محققان در گزارش خود اشاره کردند که FontOnLake دارای "طبیعت زیرکانه" ، "طراحی پیشرفته" و "شیوع کم" است. بنابراین ، استفاده از این بدافزار در حملات هدفمند آسانتر است.
به گفته محقق ESET ولادیسلاو هروکا ، این امکان دسترسی از راه دور به مهاجمان را میدهد ، میتواند بهعنوان یک سرور پروکسی عمل کند و اعتبارنامهها را بدزدد. این خانواده بدافزار از "باینریهای مشروع اصلاحشده" برای جمعآوری دادهها استفاده میکند و این باینریها برای بارگیری اجزای بیشتر تنظیمشدهاند. علاوه بر این ، برای عدم شناسایی ، بدافزار از روت کیت استفاده میکند. این دوتایی در سیستمهای لینوکس استفاده میشود ، اما "میتواند بهعنوان یک مکانیسم ماندگاری عمل کند" ، Hrčka در یک پست وبلاگ نوشت.
اهداف احتمالی
اطلاعات مربوط به محل سرور C&C و کشورهایی که نمونهها در آن بارگذاری شدهاند نشان میدهد که این کمپین کاربران جنوب شرقی آسیا را هدف قرار میدهد. محققان ESET در ادامه اظهار کردند که دو نسخه از روت کیت لینوکس را بر اساس پروژه منبع باز Suterusu کشف کردهاند و عملکردهای مشابهی را انجام میدهند ، مانند:
مخفی شدن فایل
خود را پنهان میکند
پنهان کردن فرآیند
انجام حملونقل پورت
مخفی کردن اتصالات شبکه
قرار دادن اعتبارنامههای جمعآوریشده به در پشتی آن
پذیرش بستههای جادویی (این بستهها به روت کیت دستور میدهند که درب پشتی دیگری را بارگیری و اجرا کند)
"ما معتقدیم که اپراتورهای FontOnLake بسیار محتاط هستند زیرا تقریباً در همه نمونههایی که مشاهده میشوند از سرورهای C&C منحصربهفرد با پورتهای غیراستاندارد متفاوت استفاده میشود. نویسندگان بیشتر از C/C ++ و کتابخانههای مختلف شخص ثالث مانند Boost ، Poco یا Protobuf استفاده میکنند. هیچیک از سرورهای C&C مورداستفاده در نمونههای بارگذاری شده در VirusTotal در زمان نوشتن فعال نبودند - که نشان میدهد به دلیل بارگذاری ممکن است غیرفعال شده باشند. "
اجزای شناختهشده
همانطور که در تصویر بالا نشان دادهشده است ؛ اجزای شناختهشده بدافزار FontOnLake به سه گروه تقسیم میشوند: برنامههای تروجان شده باینریهای مشروع اصلاحشده هستند که برای انجام طیف وسیعی از فعالیتهای مخرب تنظیمشدهاند.
component لفه دوم درهای پشتی حالت کاربر است که بهعنوان نقطه اصلی ارتباط برای اپراتورهای بدافزار عمل میکند. ثالثاً ، دارای Rootkits است ، که اجزای حالت کرنل هستند که برای تهیه پشتیبان و کمک بهروزرسانی استفاده میشوند. مقیاس و طراحی پیشرفته آنها نشان میدهد که نویسندگان در امنیت سایبری مسلط هستند و ممکن است از این ابزارها در مبارزات آینده استفاده مجدد شود، محققان نتیجه گرفتند.
منبع: پلیس فتا
مطالب مرتبط
By accepting you will be accessing a service provided by a third-party external to https://behinrahkar.com/