یک خانواده بدافزار جدید در حال آلوده سازی سیستم های لینوکس هستند. این تهدید که FontOnLake نام دارد، شامل backdoor و rootkit می باشد.
این بدافزار شیوع کمی دارد ولی از طراحی پیشرفته ای برخوردار می باشد که به آن اجازه می دهد تا ماندگاری خود را بر روی سیستم آلوده حفظ کند.
پنهان شدن در ابزارها
FontOnLake دارای چندین ماژول است که با یکدیگر ارتباط برقرار می کنند و ارتباط با اپراتورهای بدافزار را امکان پذیر می نمایند، داده های حساس را سرقت می کنند و در سیستم مخفی می مانند.
محققان ESET چندین نمونه از این بدافزار را که در سرویس اسکن VirusTotal بارگذاری شده بود در سال گذشته پیدا کردند.
بدافزار FontOnLakeدارای طراحی پیچیده و مخفیانه ای می باشد و توسط اپراتورهایی که دقت کافی دارند برای استفاده از سرورهای فرمان و کنترل منحصر به فرد و تقریبا برای همه نمونه ها و پورتهای مختلف در حملات هدفمند استفاده می شود.
محققان ESET اعلام داشتند روش حمله بدافزار FontOnLake از طریق برنامه trojanized است اما هنوز مشخص نیست چگونه قربانیان برای بارگیری فایلهای باینری اصلاح شده فریب می خورند.
در میان برنامه های کاربردی لینوکس عوامل تهدید کننده برای حمله بدافزار FontOnLake عبارتند از:
• cat- برای چاپ محتوای یک فایل استفاده می شود.
• kill- تمام فرایندهای در حال اجرا را فهرست می کند.
• sftp – ابزار امن FTP.
• sshd- فرآیند سرور OpenSSH.
محققان اعلام داشتند، بنظر می رسد که برنامه های تروجان به احتمال زیاد در سطح کد منبع اصلاح شده هستند و این نشان می دهد که عامل تهدید آنها را گردآوری کرده و جایگزین اصلی کرده است.
برنامه های تروجان علاوه بر حمل بدافزار، بارگیری فایل های اضافی، جمع آوری اطلاعات و سایر اقدامات مخرب را به عهده دارند.
محققان سه درب پشتی که به زبان C ++ نوشته شده و مربوط به خانواده بدافزار FontOnLake است کشف کردند که دسترسی مهاجمان را از راه دور به سیستم فراهم می کند.
عملکرد مشترک برای هر سه آنها انتقال اطلاعات جمع آوری شده sshd و سابقه فرمان bash به سرور C2 می باشد.
بر اساس rootkit منبع باز
در یک گزارش فنی که این هفته منتشر شد، ESET اعلام می کند که وجود بدافزار FontOnLake در یک سیستم آسیب دیده توسط یک جزء rootkit پنهان است.
نمونه های rootkit که ESET نسخه های هسته هدف پیدا کرده است: 2.6.32-696.el6.x86_64 and 3.10.0-229.el7.X86_64.
دو نسخه کشف شده بر اساس یک پروژه rootkit هشت ساله با منبع باز به نام Suterusu می باشد که می تواند فرآیندها، پرونده ها و اتصالات شبکه را مخفی کند.
ارتباط بین برنامه های تروجان و rootkit از طریق یک فایل مجازی است. یک اپراتور می تواند داده ها را در این فایل بخواند یا بنویسد و آنها را از طریق backdoor component منتشر کند.
محققان معتقدند که نویسنده FontOnLake ” به امنیت سایبری مسلط است” و سرورهای C2 مورد استفاده در نمونه های موجود VirusTotal را پس از اطلاع از بارگذاری غیرفعال می کند.
توضیح مختصری ازFontOnLake
محققان ESET اعلام داشتند بدافزار FontOnLake ممکن است همان بدافزاری باشد که قبلاً توسط محققان Tencent Security Response Center تجزیه و تحلیل شده بود و آنها را با یک حادثه تهدید مداوم پیشرفته مرتبط دانست.
با ما تماس بگیرید:
021-88873951
031-36691964
www.panaco.ir
آرامش در پناه امنیت
منبع:
https://www.bleepingcomputer.com
