Недавно обнаруженное семейство вредоносных программ заражало системы Linux, скрытые в законных двоичных файлах. Названная FontOnLake, угроза поставляет компоненты бэкдора и руткита.
Вредоносная программа имеет низкую распространенность в дикой природе и имеет усовершенствованный дизайн, позволяющий поддерживать длительную устойчивость в зараженной системе.
Скрытие внутри законных утилит
FontOnLake имеет несколько модулей, которые взаимодействуют друг с другом и позволяют взаимодействовать с операторами вредоносных программ, красть конфиденциальные данные и оставаться скрытыми в системе.
Исследователи ESET обнаружили несколько образцов вредоносного ПО, загруженных в службу сканирования VirusTotal в течение прошлого года, первый из которых появился в мае 2020 года.
Отмеченный скрытностью и сложным дизайном, FontOnLake, вероятно, используется в целевых атаках операторами, которые достаточно осторожны, чтобы использовать уникальные серверы управления и контроля (C2) для «почти всех образцов» и различных нестандартных портов.
Хотя исследователи ESET обнаружили, что FontOnLake распространяется через троянизированное приложение, они не знают, как жертв соблазняют загрузить модифицированные двоичные файлы.
Среди утилит Linux, которые злоумышленник изменил для доставки FontOnLake:
- cat — используется для печати содержимого файла
- kill — перечисляет все запущенные процессы
- sftp — безопасная утилита FTP
- sshd — процесс сервера OpenSSH
«Все троянизированные файлы являются стандартными утилитами Linux и служат в качестве метода сохранения, поскольку они обычно запускаются при запуске системы», — сказал Владислав Хрчка, аналитик вредоносных программ и обратный инженер в ESET.
По мнению исследователей, троянские утилиты, вероятно, были модифицированы на уровне исходного кода, что указывает на то, что злоумышленник скомпилировал их и заменил исходный.
Помимо передачи вредоносного ПО, роль этих модифицированных двоичных файлов заключается в загрузке дополнительных полезных данных, сборе информации или выполнении других вредоносных действий.
Исследователи обнаружили три настраиваемых бэкдора, написанных на C ++, связанных с семейством вредоносных программ FontOnLake, которые предоставляют операторам удаленный доступ к зараженной системе.
Общей функцией для всех трех из них является передача собранных учетных данных sshd и истории команд bash на сервер C2. Они также используют настраиваемые команды пульса, чтобы поддерживать соединение с сервером управления.
На основе руткита с открытым исходным кодом
В техническом отчете, выпущенном на этой неделе, ESET отмечает, что присутствие FontOnLake в скомпрометированной системе скрыто компонентом руткита, который также отвечает за обновления и доставку резервных бэкдоров.
Все образцы руткитов, обнаруженные ESET, являются целевыми версиями ядра 2.6.32-696.el6.x86_64 и 3.10.0-229.el7.X86_64. Обе обнаруженные версии основаны на проекте руткитов с открытым исходным кодом Suterusu восьмилетней давности и могут скрывать процессы, файлы, самих себя и сетевые подключения.
Связь между троянскими приложениями и руткитом осуществляется через виртуальный файл, который последний создает. Оператор может читать или записывать данные в этот файл и экспортировать их с помощью компонента бэкдора.
Исследователи считают, что автор FontOnLake «хорошо разбирается в кибербезопасности», и деактивировал серверы C2, используемые в образцах, найденных на VirusTotal, как только они узнали о загрузке.
Затяжка FontOnLake
ESET заявляет, что FontOnLake может быть тем же вредоносным ПО, которое ранее анализировалось исследователями из Tencent Security Response Center, которые связали его с серьезным инцидентом с постоянной угрозой.
В своем твите в конце августа компания Avast, занимающаяся кибербезопасностью, объявила об обнаружении нового вредоносного ПО для Linux, использующего Suterusu, которое они назвали HCRootkit.
Их описание аналогично результатам ESET, поскольку HCRootkit предоставляется с помощью «бэкдора-двоичного файла coreutils», который также отбрасывает бэкдор, написанный на C ++.
«Основная цель компонента руткита — скрыть полезную нагрузку этапа 2 и гарантировать, что трафик от ЧПУ проходит в обход брандмауэра, путем установки перехватчика netfilter и перенаправления пакетов ЧПУ, чтобы все выглядело так, как будто пакеты приходят с локального хоста» — Avast
Lacework Labs также опубликовала анализ HCRootkit, в котором представлены подробности, которые, похоже, подтверждают, что вредоносное ПО является тем же, что и FontOnLake.
Последнее обновление 05.01.2023
