Beveiligingsonderzoekers hebben een nieuwe, voorheen ongeziene malwarefamilie gericht op Linux-systemen. Nagesynchroniseerd FontOnLake door ESET-onderzoekers, en HCRootkit van Avast en Lacework, de malware heeft rootkit-mogelijkheden, geavanceerd ontwerp en lage prevalentie, wat suggereert dat het voornamelijk bedoeld is voor gerichte aanvallen.
Verwant: Linux-bedreigingslandschap 2021: Meest voorkomende malware en kwetsbaarheden
HCRootkit / FontOnLake Rootkit gericht op Linux-systemen
Volgens onderzoekers, de FontOnLake-rootkit wordt continu geüpgraded met nieuwe functies, wat betekent dat het in actieve ontwikkeling is. VirusTotal-voorbeelden van de malware onthullen dat het eerste gebruik in het wild dateert van mei 2020. Het lijkt erop dat de malware zich richt op entiteiten in Zuidoost-Azië, maar andere regio's kunnen binnenkort aan de doellijst worden toegevoegd.
De malware geeft zijn operators toegang op afstand, en kan worden gebruikt voor het verzamelen van referenties en als een proxyserver.
Lacework Labs heeft onlangs de nieuwe malware onderzocht die voor het eerst werd gedeeld door Avast. De onderzoekers’ analyse is gebaseerd op de bevindingen van Avast en op hun eigen onderzoek naar deze nieuwe malwarefamilie. Volgens de analyse van Lacework, “de kernelmodule zoals aangegeven door Avast is de open-source rootkit "Sutersu". Deze rootkit heeft brede ondersteuning voor kernelversies, evenals ondersteuning van meerdere architecturen, waaronder x86, x86_64, en ARM. Sutersu ondersteunt bestand, port, en proces verbergen, zoals je zou verwachten van een rootkit. Sutersu ondersteunt ook functionaliteit die verder gaat dan het verbergen van processen en bestanden in de vorm van extra modules die tijdens het compileren worden gespecificeerd.”
De malware bevat ook extra modules, inclusief een keylogger, een module die een binair bestand downloadt en uitvoert, en een ICMP-module om te monitoren “voor specifieke magische bytes voordat een gebeurtenis wordt geactiveerd.”
Deze modules kunnen samen worden gebruikt om het downloaden en uitvoeren van een binair bestand te activeren wanneer een specifiek ICMP-pakket wordt ontvangen, maar ze kunnen ook onafhankelijk worden gebruikt.
Meer technische details zijn beschikbaar in Lacework's gedetailleerde technische beschrijving.
In mei 2021, Qihoo 360 NETLAB-beveiligingsonderzoekers ontdekten nog een ongeziene rootkit met backdoor-mogelijkheden voor Linux, en noemde zijn druppelaar Gezichtsvis. De achterdeur kan apparaatinformatie uploaden, gebruikersgegevens stelen, stuiteren Shell, en willekeurige commando's uitvoeren.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: