近期，網(wǎng)絡(luò)安全研究人員詳細(xì)介紹了一項(xiàng)可能針對東南亞實(shí)體的新型攻擊活動，該活動可能使用以前無法識別的Linux惡意軟件，除了收集憑據(jù)和充當(dāng)代理服務(wù)器外，還可以遠(yuǎn)程訪問其運(yùn)營商。

[[428014]]

斯洛伐克網(wǎng)絡(luò)安全公司 ESET稱這類惡意軟件為“FontOnLake”，擁有精心設(shè)計(jì)且不斷升級的模塊，表明正處在開發(fā)的活躍階段。上傳到VirusTotal的樣本表明，利用這種威脅的第一次入侵可能在2020年5月就已經(jīng)發(fā)生。

ESET研究員Vladislav Hrčka表示：FontOnLake具有隱蔽性，加上先進(jìn)的設(shè)計(jì)和低流行率，目前被用于有針對性的攻擊。為了收集數(shù)據(jù)或進(jìn)行其他惡意活動，這類惡意軟件使用修改后的合法二進(jìn)制文件，這些文件經(jīng)過調(diào)整以加載更多組件。此外，為了隱藏自身的存在，F(xiàn)ontOnLak總是伴隨著一個 rootkit。這些二進(jìn)制文件通常在Linux系統(tǒng)上使用，并且還可以作為一種持久性機(jī)制。

FontOnLake的工具集包括三個組件，它們由合法 Linux 實(shí)用程序的木馬化版本組成，用于加載內(nèi)核模式的rootkits和用戶模式的后門，所有這些都使用虛擬文件相互通信。基于C++的植入程序本身旨在監(jiān)控系統(tǒng)、在網(wǎng)絡(luò)上秘密執(zhí)行命令以及泄露帳戶憑據(jù)。

該后門的第二個變體還具有充當(dāng)代理、操作文件、下載任意文件的功能，而第三個變體除了結(jié)合其他兩個后門的功能外，還可以執(zhí)行Python腳本和shell命令。

ESET表示發(fā)現(xiàn)了兩個不同版本的Linux rootkit，它們基于一個名為Suterusu的開源項(xiàng)目，在功能上有重疊之處，除了能隱藏自身外，還包括隱藏進(jìn)程、文件、網(wǎng)絡(luò)連接，同時還能夠執(zhí)行文件操作，提取并執(zhí)行用戶模式的后門。

目前尚不清楚攻擊者如何獲得對網(wǎng)絡(luò)的初始訪問權(quán)限，但網(wǎng)絡(luò)安全公司指出，攻擊者非常謹(jǐn)慎，通過依賴不同且獨(dú)特的命令和控制 (C2) ，避免在具有不同非標(biāo)準(zhǔn)端口的服務(wù)器上留下任何痕跡，以至于在VirusTotal工件中觀察到的所有 C2 服務(wù)器都不再處于活動狀態(tài)。

“它們的規(guī)模和先進(jìn)的設(shè)計(jì)表明作者精通網(wǎng)絡(luò)安全，這些工具可能會在未來的活動中重復(fù)使用，”Hrčka說。“由于大多數(shù)功能旨在隱藏其存在、中繼通信和提供后門訪問，我們認(rèn)為這些工具主要為其它惡意攻擊提供服務(wù)支撐。”

參考來源：https://thehackernews.com/2021/10/researchers-warn-of-fontonlake-rootkit.html