ESET: FontOnLake Rootkit Malware atakuje systemy Linux

Badacze wykryli nową kampanię, która potencjalnie jest wymierzona w firmy z Azji Południowo-Wschodniej, wykorzystując nieznane wcześniej złośliwe oprogramowanie dla systemu Linux, które ma umożliwiać przejęcia zdalnego dostępu, a także zbierać dane uwierzytelniające i działać jako serwer proxy.

Grupa szkodliwego oprogramowania, nazwana „FontOnLake” przez słowacką firmę zajmującą się cyberbezpieczeństwem ESET, zawiera „dobrze zaprojektowane moduły”, które są stale modyfikowane za pomocą szerokiej gamy funkcji, co wskazuje na aktywny etap rozwoju.

Według próbek przesłanych do VirusTotal, pierwsze ataki wykorzystujące to zagrożenie mogły mieć miejsce już w maju 2020 r. Ten sam wirus jest śledzony przez Avast i Lacework Labs pod nazwą HCRootkit.

Badacz ESET Vladislav Hrčka stwierdził: „Podstępny charakter narzędzi FontOnLake w połączeniu z zaawansowanym projektem i niską częstością występowania sugeruje, że są one wykorzystywane w atakach ukierunkowanych”.

„Aby zbierać dane lub prowadzić inną szkodliwą aktywność, ta rodzina szkodliwego oprogramowania wykorzystuje zmodyfikowane legalne pliki binarne, które są dostosowane do ładowania dalszych komponentów. W rzeczywistości, aby ukryć swoje istnienie, obecności FontOnLake zawsze towarzyszy rootkit. Te pliki binarne są powszechnie używane w systemach Linux i może dodatkowo służyć jako mechanizm trwałości”.

Zestaw narzędzi FontOnLake składa się z trzech komponentów: strojanizowanych kopii oryginalnych narzędzi Linuksa używanych do ładowania rootkitów trybu jądra i backdoorów trybu użytkownika, z których wszystkie wchodzą w interakcję za pośrednictwem wirtualnych plików. Same implanty oparte na C++ są zaprogramowane do monitorowania systemów, dyskretnego wykonywania poleceń w sieci i kradzieży haseł do kont.

Druga odmiana backdoora działa również jako proxy, modyfikuje pliki i pobiera dowolne pliki, podczas gdy trzeci wariant, oprócz łączenia cech dwóch pierwszych backdoorów, może uruchamiać skrypty Pythona i polecenia powłoki.

Firma ESET odkryła dwa warianty rootkita Linux, które są oparte na projekcie open source o nazwie Suterusu i udostępniają funkcje, takie jak ukrywanie procesów, plików, połączeń sieciowych i samego siebie, a także możliwość wykonywania operacji na plikach oraz uzyskiwania i uruchamiania trybu użytkownika.

Zarządzanie hasłami w przedsiębiorstwie

Nie wiadomo jeszcze, w jaki sposób atakujący uzyskali wstępny dostęp do sieci, ale firma zajmująca się cyberbezpieczeństwem podkreśliła, że ​​złośliwy podmiot stojący za atakami jest „nadmiernie ostrożny”, aby uniknąć pozostawiania jakichkolwiek śladów, polegając na wielu unikalnych serwerach dowodzenia i kontroli (C2) z różnymi niestandardowymi portami. Wszystkie serwery C2 obserwowane w artefaktach VirusTotal nie działają.

Hrčka stwierdził: „Ich skala i zaawansowany projekt sugerują, że autorzy są dobrze zorientowani w cyberbezpieczeństwie i że narzędzia te mogą zostać ponownie wykorzystane w przyszłych kampaniach”.

„Ponieważ większość funkcji jest zaprojektowana tylko w celu ukrycia jego obecności, przekazywania komunikacji i zapewnienia dostępu do tylnych drzwi, uważamy, że narzędzia te są używane głównie do utrzymywania infrastruktury, która służy innym, nieznanym, złośliwym celom”.