Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 11 Ottobre 2021 15:38
Gli specialisti ESET hanno descritto il malware FontOnLake, che combina componenti backdoor e rootkit. Il malware è noto per essere utilizzato in attacchi mirati contro organizzazioni nel sud-est asiatico.
Gli esperti scrivono che il primo file relativo a questa famiglia di malware è apparso su VirusTotal nel maggio dello scorso anno, mentre altri campioni sono stati caricati nel corso dell’anno. Al momento della stesura di questo articolo, tutti i server di controllo del malware erano già stati disabilitati. Ma i ricercatori osservano che, di norma, durante gli attacchi mirati, gli hacker agiscono in questo modo: il lavoro dell’infrastruttura si interrompe non appena i loro obiettivi vengono raggiunti.
È noto che FontOnLake viene distribuito tramite trojan, ma i ricercatori non sanno come gli aggressori abbiano costretto le loro vittime a scaricare questi binari modificati. Tra le utilità che l’attaccante ha modificato per fornire FontOnLake c’erano cat, kill, sftp e shd.
Secondo i ricercatori, le utility con trojan sono state probabilmente modificate a livello di codice sorgente, ovvero gli aggressori le hanno compilate cob il trojan al suo interno e poi hanno sostituito l’originale.
“Tutti i file che contenevano trojan sono utilità Linux standard e sono necessari per mantenere il funzionamento del sistema, perché di solito vengono lanciati all’avvio”
scrivono gli esperti.
Inoltre, i binari modificati fornivano il caricamento di payload aggiuntivi, la raccolta di informazioni e l’esecuzione di altre azioni dannose. Il fatto è che FontOnLake ha diversi moduli che interagiscono tra loro e consentono agli hacker di rubare dati riservati, nascondendo di fatto la loro presenza nel sistema.
Gli esperti hanno anche scoperto tre backdoor personalizzate scritte in C++ e relative a FontOnLake. Forniscono agli operatori di malware l’accesso remoto al sistema infetto. Una caratteristica comune a tutte le backdoor consiste nel passare le credenziali sshd raccolte e la cronologia dei comandi bash al server di comando e controllo.
La presenza di FontOnLake in un sistema compromesso è anche mascherata da un rootkit, il quale è anche responsabile dell’aggiornamento e della fornitura di backdoor di backup. Tutti i campioni di rootkit studiati da ESET hanno preso di mira le versioni del kernel 2.6.32-696.el6.x86_64 e 3.10.0-229.el7.X86_64.
ESET osserva che FontOnLake è molto probabilmente lo stesso malware precedentemente analizzato dagli esperti del Tencent Security Response Center. Sembra inoltre che questo malware sia già stato rilevato dagli specialisti di Avast e Lacework, nei cui report è apparso come rootkit HCRootkit e Sutersu.
RedazioneIl team di GrapheneOS annuncia la chiusura completa della sua infrastruttura in Francia. Gli sviluppatori stanno accelerando il passaggio dal provider di hosting OVH e accusano dalle autorità frances...
Il Roskomnadzor della Federazione Russa ha annunciato che continua a imporre restrizioni sistematiche all’app di messaggistica WhatsApp a causa di violazioni della legge russa. Secondo l’agenzia, ...
Siamo nell’era dell’inganno a pagamento. Ogni tuo click è un referendum privato in cui vincono sempre loro, gli algoritmi. E non sbagliano mai: ti osservano, ti profilano, ti conoscono meglio di ...
Questa mattina Paragon Sec è stata contattata da un’azienda italiana vittima di un nuovo tentativo di frode conosciuto come Truffa del CEO. L’ufficio contabilità ha ricevuto un’e-mail urgente,...
i ricercatori di Check Point Software, hanno recentemente pubblicato un’indagine sull’aumento delle truffe farmaceutiche basate sull’intelligenza artificiale. È stato rilevato come i criminali ...
