Sikkerhedsforskere har afsløret en ny, tidligere uset malware -familie målrettet Linux -systemer. Dubbed FontOnLake af ESET -forskere, og HCRootkit af Avast og Lacework, malware har rootkit -muligheder, avanceret design og lav forekomst, tyder på, at det primært er beregnet til målrettede angreb.
Relaterede: Linux Threat Landskab 2021: Mest udbredte malware og sårbarheder
HCRootkit / FontOnLake Rootkit -målretning Linux -systemer
Ifølge forskere, FontOnLake rootkit opgraderes løbende med nye funktioner, hvilket betyder, at det er i aktiv udvikling. VirusTotal prøver af malware afslører, at dets første brug i naturen stammer fra maj 2020. Det ser ud til, at malware er målrettet mod enheder i Sydøstasien, men andre regioner kan snart blive tilføjet til dens målliste.
Malwaren giver fjernadgang til sine operatører, og kunne bruges til legitimationshøst og som en proxyserver.
Lacework Labs undersøgte for nylig den nye malware, som først blev delt af Avast. forskerne’ analyse er baseret på Avasts resultater samt deres egen forskning i denne nye malware -familie. Ifølge Laceworks analyse, “kernemodulet som påpeget af Avast er open-source rootkit “Sutersu”. Dette rootkit har understøttelse af bred kerneversion, samt understøtter flere arkitekturer inklusive x86, x86_64, og ARM. Sutersu understøtter fil, havn, og proces skjul, som man ville forvente af et rootkit. Sutersu understøtter også funktionalitet ud over proces- og filskjulninger i form af yderligere moduler, der er specificeret i kompileringstiden.”
Malwaren indeholder også yderligere moduler, inklusive en keylogger, et modul, der downloader og udfører en binær, og et ICMP -modul til overvågning “for bestemte magiske bytes, før en hændelse udløses.”
Disse moduler kan bruges sammen til at udløse download og eksekvering af en binær, når en bestemt ICMP -pakke modtages, men de kan også bruges uafhængigt.
Flere tekniske detaljer er tilgængelige i Lacework's detaljeret teknisk opskrivning.
I maj 2021, Qihoo 360 NETLAB -sikkerhedsforskere opdagede endnu et uset rootkit med bagdørsfunktioner til Linux, og kaldte dens dropper Ansigtsfisk. Bagdøren kunne uploade enhedsoplysninger, stjæle brugeroplysninger, hoppe Shell, og udføre vilkårlige kommandoer.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: