Sicherheitsforscher haben ein neues entdeckt, bisher unbekannte Malware-Familie, die auf Linux-Systeme abzielt. Von ESET-Forschern als FontOnLake bezeichnet, und HCRootkit von Avast und Lacework, die Malware hat Rootkit-Fähigkeiten, fortschrittliches Design und niedrige Prävalenz, was darauf hindeutet, dass es in erster Linie für gezielte Angriffe gedacht ist.
verbunden: Linux-Bedrohungslandschaft 2021: Häufigste Malware und Schwachstellen
HCRootkit / FontOnLake Rootkit für Linux-Systeme
Laut den Forschern, das FontOnLake Rootkit wird ständig mit neuen Features aktualisiert, das heißt, es befindet sich in aktiver Entwicklung. VirusTotal-Beispiele der Malware zeigen, dass ihr erster Einsatz in freier Wildbahn auf den Mai zurückgeht 2020. Es scheint, dass die Malware auf Unternehmen in Südostasien abzielt, aber andere Regionen könnten bald zu seiner Zielliste hinzugefügt werden.
Die Malware gewährt ihren Betreibern Fernzugriff, und könnte zum Sammeln von Anmeldeinformationen und als Proxy-Server verwendet werden.
Lacework Labs untersuchte kürzlich die neue Malware, die zuerst von Avast . geteilt wurde. Die Forscher’ Die Analyse basiert auf den Erkenntnissen von Avast sowie eigenen Recherchen zu dieser neuen Malware-Familie. Laut Laceworks Analyse, “Das Kernel-Modul, wie von Avast erwähnt, ist das Open-Source-Rootkit „Sutersu“. Dieses Rootkit bietet umfassende Unterstützung für Kernel-Versionen, sowie Unterstützung mehrerer Architekturen, einschließlich x86, x86_64, und ARM. Sutersu unterstützt Datei, Port, und Prozessverstecken, wie man es von einem Rootkit erwarten würde. Sutersu unterstützt auch Funktionen, die über das Verstecken von Prozessen und Dateien hinausgehen, in Form von zusätzlichen Modulen, die während der Kompilierzeit angegeben werden.”
Die Malware enthält auch zusätzliche Module, inklusive Keylogger, ein Modul, das eine Binärdatei herunterlädt und ausführt, und ein ICMP-Modul zur Überwachung “für bestimmte magische Bytes, bevor ein Ereignis ausgelöst wird.”
Diese Module können zusammen verwendet werden, um das Herunterladen und Ausführen einer Binärdatei auszulösen, wenn ein bestimmtes ICMP-Paket empfangen wird, aber sie können auch unabhängig verwendet werden.
Weitere technische Details finden Sie in Lacework’s ausführliche technische Beschreibung.
Im Mai 2021, Qihoo 360 NETLAB-Sicherheitsforscher entdeckten ein weiteres ungesehenes Rootkit mit Backdoor-Funktionen für Linux, und nannte seine Pipette Gesichtsfisch. Die Hintertür könnte Geräteinformationen hochladen, Benutzeranmeldeinformationen stehlen, Shell abprallen, und führe beliebige Befehle aus.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: