Ένα νέο malware, με το όνομα FontOnLake, μολύνει συστήματα Linux και κρύβεται σε νόμιμα binaries. Σύμφωνα με τους ερευνητές, το FontOnLake διαθέτει backdoor και rootkit components.
Το κακόβουλο λογισμικό δεν είναι ιδιαίτερο διαδεδομένο αλλά επωφελείται από έναν προηγμένο σχεδιασμό που του επιτρέπει να διατηρεί εκτεταμένο persistence σε ένα μολυσμένο σύστημα.
Δείτε επίσης: ShellClient Malware: Χρησιμοποιείται σε αεροδιαστημικές εταιρείες
Το FontOnLake κρύβεται σε νόμιμα utilities
Το FontOnLake διαθέτει πολλαπλά modules που αλληλεπιδρούν μεταξύ τους και επιτρέπουν την επικοινωνία με τους χειριστές του κακόβουλου λογισμικού, ενώ κλέβουν ευαίσθητα δεδομένα και παραμένουν κρυμμένα στο σύστημα.
Ερευνητές ασφαλείας στην ESET έχουν βρει πολλά δείγματα του συγκεκριμένου κακόβουλου λογισμικού στην υπηρεσία σάρωσης VirusTotal. Το πρώτο εμφανίστηκε τον Μάιο του 2020.
Οι ερευνητές παρατήρησαν ότι ο σχεδιασμός του FontOnLake είναι ιδιαίτερα προσεγμένος. Το κακόβουλο λογισμικό που στοχεύει Linux συστήματα, πιθανότατα χρησιμοποιείται σε στοχευμένες επιθέσεις από εγκληματίες που είναι αρκετά προσεκτικοί ώστε να χρησιμοποιούν μοναδικούς command and control (C2) servers για “σχεδόν όλα τα δείγματα” και διάφορα non-standard ports.
Δείτε επίσης: Πώς ένα σφάλμα coding μετατρέπει τα AirTags σε διανομείς malware
Ενώ οι ερευνητές της ESET διαπίστωσαν ότι η μέθοδος διανομής για το FontOnLake malware είναι μέσω trojanized app, δεν γνωρίζουν πώς τα θύματα παρασύρονται να κατεβάσουν τα τροποποιημένα binaries.
Μεταξύ των Linux utilities που τροποποίησε ο φορέας απειλών για την παράδοση του FontOnLake είναι τα: cat, kill, sftp, sshd.
“Όλα τα trojanized αρχεία είναι standard Linux utilities και χρησιμεύουν ως μέθοδος persistence επειδή εκτελούνται συνήθως κατά την εκκίνηση του συστήματος“, δήλωσε ο Vladislav Hrčka, αναλυτής κακόβουλου λογισμικού και reverse engineer στην ESET.
Οι ερευνητές πιστεύουν ότι τα trojan utilities πιθανότατα τροποποιήθηκαν σε επίπεδο source code.
Εκτός από τη μεταφορά του κακόβουλου λογισμικού, ο ρόλος αυτών των τροποποιημένων binaries είναι να φορτώνουν κι άλλα κακόβουλα payloads στα μολυσμένα Linux συστήματα, να συλλέγουν πληροφορίες ή να εκτελούν άλλες κακόβουλες ενέργειες.
Οι ερευνητές ανακάλυψαν τρία custom backdoors γραμμένα σε C ++, που σχετίζονται με το FontOnLake malware και παρέχουν στους χειριστές απομακρυσμένη πρόσβαση στο μολυσμένο σύστημα.
Μια κοινή λειτουργία και των τριών είναι η μεταφορά των κλεμμένων sshd credentials και του bash command history στον C2 server.
Βασισμένο σε open-source rootkit
Στην έκθεσή τους, οι ερευνητές της ESET αναφέρουν ότι η παρουσία του FontOnLake σε ένα παραβιασμένο Linux σύστημα κρύβεται από ένα rootkit component, το οποίο είναι επίσης υπεύθυνο για ενημερώσεις και για την παράδοση εφεδρικών backdoors.
Η επικοινωνία μεταξύ trojanized apps και rootkit γίνεται μέσω ενός virtual file που δημιουργεί το τελευταίο. Ένας χειριστής μπορεί να διαβάσει ή να γράψει δεδομένα σε αυτό το αρχείο και να τα εξάγει από το backdoor component.
Οι ερευνητές πιστεύουν ότι ο δημιουργός του FontOnLake είναι “πολύ έμπειρος στην ασφάλεια στον κυβερνοχώρο” και απενεργοποίησε τους διακομιστές C2 που χρησιμοποιήθηκαν στα δείγματα που βρέθηκαν στο VirusTotal.
Δείτε επίσης: Android malware έχει κλέψει χρήματα από 10 εκατομμύρια χρήστες!
Η ESET λέει ότι το FontOnLake μπορεί να είναι το ίδιο κακόβουλο λογισμικό που είχε αναλυθεί προηγουμένως από ερευνητές στο Tencent Security Response Center.
Η εταιρεία κυβερνοασφάλειας Avast είχε πει τον Αύγουστο ότι βρήκε ένα νέο κακόβουλο λογισμικό που στόχευε Linux συστήματα. Η περιγραφή τους είναι παρόμοια με τα ευρήματα της ESET.
“Ο κύριος σκοπός του rootkit component είναι να αποκρύψει το stage 2 payload και να διασφαλίσει ότι το traffic από το CNC παρακάμπτει το firewall, εγκαθιστώντας ένα netfilter hook και ανακατευθύνοντας τα CNC packets για να φαίνεται ότι τα προέρχονται από localhost“, είχε πει η Avast.
Πηγή: Bleeping Computer