近期，網(wǎng)絡(luò)安全研究人員詳細介紹了一項可能針對東南亞實體的新型攻擊活動，該活動可能使用以前無法識別的Linux惡意軟件，除了收集憑據(jù)和充當代理服務(wù)器外，還可以遠程訪問其運營商。

[[428014]]

斯洛伐克網(wǎng)絡(luò)安全公司 ESET稱這類惡意軟件為“FontOnLake”，擁有精心設(shè)計且不斷升級的模塊，表明正處在開發(fā)的活躍階段。上傳到VirusTotal的樣本表明，利用這種威脅的第一次入侵可能在2020年5月就已經(jīng)發(fā)生。

ESET研究員Vladislav Hrčka表示：FontOnLake具有隱蔽性，加上先進的設(shè)計和低流行率，目前被用于有針對性的攻擊。為了收集數(shù)據(jù)或進行其他惡意活動，這類惡意軟件使用修改后的合法二進制文件，這些文件經(jīng)過調(diào)整以加載更多組件。此外，為了隱藏自身的存在，F(xiàn)ontOnLak總是伴隨著一個 rootkit。這些二進制文件通常在Linux系統(tǒng)上使用，并且還可以作為一種持久性機制。

FontOnLake的工具集包括三個組件，它們由合法 Linux 實用程序的木馬化版本組成，用于加載內(nèi)核模式的rootkits和用戶模式的后門，所有這些都使用虛擬文件相互通信。基于C++的植入程序本身旨在監(jiān)控系統(tǒng)、在網(wǎng)絡(luò)上秘密執(zhí)行命令以及泄露帳戶憑據(jù)。

該后門的第二個變體還具有充當代理、操作文件、下載任意文件的功能，而第三個變體除了結(jié)合其他兩個后門的功能外，還可以執(zhí)行Python腳本和shell命令。

ESET表示發(fā)現(xiàn)了兩個不同版本的Linux rootkit，它們基于一個名為Suterusu的開源項目，在功能上有重疊之處，除了能隱藏自身外，還包括隱藏進程、文件、網(wǎng)絡(luò)連接，同時還能夠執(zhí)行文件操作，提取并執(zhí)行用戶模式的后門。

目前尚不清楚攻擊者如何獲得對網(wǎng)絡(luò)的初始訪問權(quán)限，但網(wǎng)絡(luò)安全公司指出，攻擊者非常謹慎，通過依賴不同且獨特的命令和控制 (C2) ，避免在具有不同非標準端口的服務(wù)器上留下任何痕跡，以至于在VirusTotal工件中觀察到的所有 C2 服務(wù)器都不再處于活動狀態(tài)。

“它們的規(guī)模和先進的設(shè)計表明作者精通網(wǎng)絡(luò)安全，這些工具可能會在未來的活動中重復(fù)使用，”Hrčka說。“由于大多數(shù)功能旨在隱藏其存在、中繼通信和提供后門訪問，我們認為這些工具主要為其它惡意攻擊提供服務(wù)支撐。”

參考來源：https://thehackernews.com/2021/10/researchers-warn-of-fontonlake-rootkit.html