Il malware FontOnLake attacca i binari Linux in attacchi attivi.

Gli specialisti ESET hanno descritto il malware FontOnLake, che combina componenti backdoor e rootkit. Il malware è noto per essere utilizzato in attacchi mirati contro organizzazioni nel sud-est asiatico.

Gli esperti scrivono che il primo file relativo a questa famiglia di malware è apparso su VirusTotal nel maggio dello scorso anno, mentre altri campioni sono stati caricati nel corso dell’anno. Al momento della stesura di questo articolo, tutti i server di controllo del malware erano già stati disabilitati. Ma i ricercatori osservano che, di norma, durante gli attacchi mirati, gli hacker agiscono in questo modo: il lavoro dell’infrastruttura si interrompe non appena i loro obiettivi vengono raggiunti.

È noto che FontOnLake viene distribuito tramite trojan, ma i ricercatori non sanno come gli aggressori abbiano costretto le loro vittime a scaricare questi binari modificati. Tra le utilità che l’attaccante ha modificato per fornire FontOnLake c’erano cat, kill, sftp e shd.

Secondo i ricercatori, le utility con trojan sono state probabilmente modificate a livello di codice sorgente, ovvero gli aggressori le hanno compilate cob il trojan al suo interno e poi hanno sostituito l’originale.

“Tutti i file che contenevano trojan sono utilità Linux standard e sono necessari per mantenere il funzionamento del sistema, perché di solito vengono lanciati all’avvio”

scrivono gli esperti.

Inoltre, i binari modificati fornivano il caricamento di payload aggiuntivi, la raccolta di informazioni e l’esecuzione di altre azioni dannose. Il fatto è che FontOnLake ha diversi moduli che interagiscono tra loro e consentono agli hacker di rubare dati riservati, nascondendo di fatto la loro presenza nel sistema.

Gli esperti hanno anche scoperto tre backdoor personalizzate scritte in C++ e relative a FontOnLake. Forniscono agli operatori di malware l’accesso remoto al sistema infetto. Una caratteristica comune a tutte le backdoor consiste nel passare le credenziali sshd raccolte e la cronologia dei comandi bash al server di comando e controllo.

La presenza di FontOnLake in un sistema compromesso è anche mascherata da un rootkit, il quale è anche responsabile dell’aggiornamento e della fornitura di backdoor di backup. Tutti i campioni di rootkit studiati da ESET hanno preso di mira le versioni del kernel 2.6.32-696.el6.x86_64 e 3.10.0-229.el7.X86_64.

ESET osserva che FontOnLake è molto probabilmente lo stesso malware precedentemente analizzato dagli esperti del Tencent Security Response Center. Sembra inoltre che questo malware sia già stato rilevato dagli specialisti di Avast e Lacework, nei cui report è apparso come rootkit HCRootkit e Sutersu.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.