Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 11 Ottobre 2021 15:38
Gli specialisti ESET hanno descritto il malware FontOnLake, che combina componenti backdoor e rootkit. Il malware è noto per essere utilizzato in attacchi mirati contro organizzazioni nel sud-est asiatico.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Gli esperti scrivono che il primo file relativo a questa famiglia di malware è apparso su VirusTotal nel maggio dello scorso anno, mentre altri campioni sono stati caricati nel corso dell’anno. Al momento della stesura di questo articolo, tutti i server di controllo del malware erano già stati disabilitati. Ma i ricercatori osservano che, di norma, durante gli attacchi mirati, gli hacker agiscono in questo modo: il lavoro dell’infrastruttura si interrompe non appena i loro obiettivi vengono raggiunti.
È noto che FontOnLake viene distribuito tramite trojan, ma i ricercatori non sanno come gli aggressori abbiano costretto le loro vittime a scaricare questi binari modificati. Tra le utilità che l’attaccante ha modificato per fornire FontOnLake c’erano cat, kill, sftp e shd.
Secondo i ricercatori, le utility con trojan sono state probabilmente modificate a livello di codice sorgente, ovvero gli aggressori le hanno compilate cob il trojan al suo interno e poi hanno sostituito l’originale.
“Tutti i file che contenevano trojan sono utilità Linux standard e sono necessari per mantenere il funzionamento del sistema, perché di solito vengono lanciati all’avvio”
scrivono gli esperti.
Inoltre, i binari modificati fornivano il caricamento di payload aggiuntivi, la raccolta di informazioni e l’esecuzione di altre azioni dannose. Il fatto è che FontOnLake ha diversi moduli che interagiscono tra loro e consentono agli hacker di rubare dati riservati, nascondendo di fatto la loro presenza nel sistema.
Gli esperti hanno anche scoperto tre backdoor personalizzate scritte in C++ e relative a FontOnLake. Forniscono agli operatori di malware l’accesso remoto al sistema infetto. Una caratteristica comune a tutte le backdoor consiste nel passare le credenziali sshd raccolte e la cronologia dei comandi bash al server di comando e controllo.
La presenza di FontOnLake in un sistema compromesso è anche mascherata da un rootkit, il quale è anche responsabile dell’aggiornamento e della fornitura di backdoor di backup. Tutti i campioni di rootkit studiati da ESET hanno preso di mira le versioni del kernel 2.6.32-696.el6.x86_64 e 3.10.0-229.el7.X86_64.
ESET osserva che FontOnLake è molto probabilmente lo stesso malware precedentemente analizzato dagli esperti del Tencent Security Response Center. Sembra inoltre che questo malware sia già stato rilevato dagli specialisti di Avast e Lacework, nei cui report è apparso come rootkit HCRootkit e Sutersu.
RedazioneUna nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente d...
Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...
1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
