Výskumníci varujú pred malvérom FontOnLake Rootkit zacieleným na linuxové systémy

Výskumníci v oblasti kybernetickej bezpečnosti podrobne popísali novú kampaň, ktorá sa pravdepodobne zameriava na subjekty v juhovýchodnej Ázii s predtým nerozpoznaným linuxovým malvérom, ktorý je navrhnutý tak, aby umožňoval vzdialený prístup svojim operátorom, okrem zhromažďovania poverení a fungovania ako proxy server.

Rodina škodlivého softvéru s názvom „FontOnLake” od slovenskej firmy ESET v oblasti kybernetickej bezpečnosti sa uvádza, že obsahuje “dobre navrhnuté moduly”, ktoré sa neustále inovujú o širokú škálu schopností, čo naznačuje aktívnu fázu vývoja. Vzorky nahrané do VirusTotal poukazujú na možnosť, že úplne prvé prieniky využívajúce tento hrozba sa vyskytla už v máji 2020.

Avast a Lacework Labs sledujú rovnaký malvér pod prezývkou HCRootkit.

„Záludný charakter nástrojov FontOnLake v kombinácii s pokročilým dizajnom a nízkou prevalenciou naznačujú, že sa používajú pri cielených útokoch,“ povedal výskumník ESET Vladislav Hrčka. “Na zhromažďovanie údajov alebo vykonávanie inej zákernej činnosti používa táto rodina škodlivého softvéru upravené legitímne binárne súbory, ktoré sú prispôsobené na načítanie ďalších komponentov. V skutočnosti je prítomnosť FontOnLake vždy sprevádzaná rootkitom. Tieto binárne súbory sa bežne používajú na systémoch Linux. a môže navyše slúžiť ako mechanizmus pretrvávania.”

Sada nástrojov FontOnLake obsahuje tri komponenty, ktoré pozostávajú z trójskych verzií legitímnych linuxových pomôcok, ktoré sa používajú na načítanie rootkitov v režime jadra a zadných vrátok v používateľskom režime, pričom všetky navzájom komunikujú pomocou virtuálnych súborov. Samotné implantáty založené na C++ sú navrhnuté tak, aby monitorovali systémy, tajne vykonávali príkazy v sieťach a získavali prihlasovacie údaje k účtu.

Druhá permutácia zadných vrátok tiež prichádza s možnosťami pôsobiť ako proxy, manipulovať so súbormi, sťahovať ľubovoľné súbory, zatiaľ čo tretí variant, okrem začlenenia funkcií z ďalších dvoch zadných vrátok, je vybavený na vykonávanie skriptov Python a príkazov shellu.

Spoločnosť ESET uviedla, že našla dve rôzne verzie linuxového rootkitu, ktorý je založený na projekte s otvoreným zdrojovým kódom s názvom Suterusu a zdieľa prekrývajúce sa funkcie, vrátane skrývania procesov, súborov, sieťových pripojení a seba, pričom je tiež schopný vykonávať operácie so súbormi a extrahovať a spustiť zadné vrátka užívateľského režimu.

Momentálne nie je známe, ako útočníci získajú počiatočný prístup k sieti, ale spoločnosť zaoberajúca sa kybernetickou bezpečnosťou poznamenala, že aktér hrozby stojaci za útokmi je „príliš opatrný“, aby nezanechal žiadne stopy spoliehaním sa na odlišné, jedinečné príkazy a ovládanie (C2). servery s rôznymi neštandardnými portami. Všetky servery C2 pozorované v artefaktoch VirusTotal už nie sú aktívne.

„Ich rozsah a pokročilý dizajn naznačujú, že autori sa dobre orientujú v kybernetickej bezpečnosti a že tieto nástroje možno znova použijú v budúcich kampaniach,“ povedal Hrčka. “Vzhľadom na to, že väčšina funkcií je navrhnutá len na skrytie jej prítomnosti, prenosovej komunikácie a poskytovania prístupu backdoor, veríme, že tieto nástroje sa väčšinou používajú na udržiavanie infraštruktúry, ktorá slúži na iné, neznáme, škodlivé účely.”