LinuxSécurité

Attention – FontOnLake Rootkit Malware attaquant les systèmes Linux

Selon les chercheurs d’ESET, les composants du malware FontOnLake sont divisés en trois groupes : application Trojamized, Rootkit et Backdoor. 

Des chercheurs de la société slovaque de cybersécurité ESET ont identifié une nouvelle famille de logiciels malveillants utilisant des modules personnalisés et bien conçus. Dans le livre blanc d’ESET [PDF] , les chercheurs ont révélé que le malware appelé FontOnLake Rootkit malware cible les systèmes Linux et que ses modules sont en cours de développement.

Les échantillons de logiciels malveillants téléchargés sur VirusTotal indiquent que la première intrusion via cette menace non identifiée auparavant s’est produite en mai 2020.  Tencent ,  Lacework Labs et  Avast  suivent également ce logiciel malveillant à l’aide du surnom HCRootkit. 

À propos de FontOnLake

Les chercheurs ont noté dans leur rapport que FontOnLake a une « nature sournoise », une « conception avancée » et une « faible prévalence ». Par conséquent, il est plus facile d’utiliser ce malware dans des attaques ciblées.

Selon le chercheur d’ESET, Vladislav Hrčka, il permet un accès à distance aux attaquants, peut servir de serveur proxy et voler des informations d’identification. Cette famille de logiciels malveillants utilise des « binaires légitimes modifiés » pour collecter des données, et ces fichiers binaires ont été ajustés pour charger davantage de composants.

De plus, pour ne pas être détecté, le malware utilise un rootkit. Ces binaires sont utilisés sur les systèmes Linux mais « peuvent également servir de mécanisme de persistance », a écrit Hrčka dans un article de blog .

Cibles probables

Les informations sur l’emplacement de son serveur C&C et les pays où les échantillons ont été téléchargés indiquent que la campagne cible les utilisateurs d’Asie du Sud-Est.

Les chercheurs d’ESET ont en outre déclaré avoir découvert deux versions du rootkit Linux basées sur le projet open source Suterusu et effectuer des fonctions similaires telles que :

  • Masquage de fichier
  • Se cacher
  • Masquage de processus
  • Effectuer la redirection de port
  • Cacher les connexions réseau
  • Exposer les informations d’identification collectées à sa porte dérobée
  • Réception des paquets magiques (ces paquets demandent au rootkit de télécharger et d’exécuter une autre porte dérobée)

« Nous pensons que les opérateurs de FontOnLake sont particulièrement prudents car presque tous les échantillons vus utilisent des serveurs C&C uniques avec divers ports non standard. Les auteurs utilisent principalement C/C++ et diverses bibliothèques tierces telles que Boost, Poco ou Protobuf. Aucun des serveurs C&C utilisés dans les échantillons téléchargés sur VirusTotal n’était actif au moment de la rédaction, ce qui indique qu’ils auraient pu être désactivés en raison du téléchargement », ont expliqué les chercheurs.

Interaction des composants de FontOnLake

Composants connus

Comme le montre la capture d’écran ci-dessus ; Les composants connus du malware FontOnLake sont divisés en  trois groupes : Les applications cheval de Troie sont les binaires légitimes modifiés ajustés pour mener une gamme d’activités malveillantes. 

Le deuxième composant est constitué de portes dérobées en mode utilisateur qui servent de point de communication principal pour les opérateurs de logiciels malveillants. Troisièmement, il contient des rootkits, qui sont des composants en mode noyau utilisés pour fournir des portes dérobées de secours et faciliter les mises à jour.

« Leur échelle et leur conception avancée suggèrent que les auteurs connaissent bien la cybersécurité et que ces outils pourraient être réutilisés dans de futures campagnes », a écrit Hrčka, ajoutant que la plupart des fonctionnalités sont conçues pour masquer la présence de FontOnLake, offrir un accès par une porte dérobée et relayer la communication. , ont conclu les chercheurs.

Leave your vote

Afficher plus

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page

Log In

Forgot password?

Forgot password?

Enter your account data and we will send you a link to reset your password.

Your password reset link appears to be invalid or expired.

Log in

Privacy Policy

Add to Collection

No Collections

Here you'll find all collections you've created before.

To The Pandamoon Nous aimerions vous montrer des notifications pour les dernières news et mises à jour.
Rejeter
Autoriser les notifications