一种以前未被发现的恶意软件品牌正被用于针对 #Linux 系统的攻击 ——
据网络安全公司 ESET 的研究人员称,这种名为 FontOnLake 的恶意软件似乎是精心设计的,虽然正在积极开发,但已经包括远程访问选项、凭证盗窃功能,并能够初始化代理服务器。
FontOnLake 样本于2020年5月首次出现在 VirusTotal 上,但与这些文件相连的命令和控制(C2)服务器被禁用,研究人员说这可能是由于上传的原因。
研究人员指出,该恶意软件所针对的 Linux 系统可能位于包括东南亚在内的地区。
ESET认为,操作者对被抓住和他们的活动暴露 “过于谨慎”,因为几乎所有获得的样本都使用不同的C2服务器地址和各种端口。此外,该恶意软件的作者利用了C/C++和一些第三方库,如 Boost 和 Protobuf。
FontOnLake 是模块化的恶意软件,利用自定义二进制文件来感染目标机器并执行恶意代码。虽然ESET仍在调查FontOnLake,但该公司表示,在其已知的组件中,有被用来加载后门、rootkits和收集信息的木马应用程序。
总共有三个后门也与 FontOnLake 有关。这些后门都是用C++编写的,并创建了一个通往同一C2的桥梁,用于数据外流。此外,它们能够发出 “心跳” 命令,以保持这种连接的活性。
FontOnLake 总是与一个内核模式的 rootkit 一起,在受感染的 Linux 机器上保持持久性。据 Avast 称,该 rootkit 是基于开源的 Suterusu 项目。
以下是ESET发布的技术白皮书,研究 FontOnLake。
#ThreatIntelligence #malware
据网络安全公司 ESET 的研究人员称,这种名为 FontOnLake 的恶意软件似乎是精心设计的,虽然正在积极开发,但已经包括远程访问选项、凭证盗窃功能,并能够初始化代理服务器。
FontOnLake 样本于2020年5月首次出现在 VirusTotal 上,但与这些文件相连的命令和控制(C2)服务器被禁用,研究人员说这可能是由于上传的原因。
研究人员指出,该恶意软件所针对的 Linux 系统可能位于包括东南亚在内的地区。
ESET认为,操作者对被抓住和他们的活动暴露 “过于谨慎”,因为几乎所有获得的样本都使用不同的C2服务器地址和各种端口。此外,该恶意软件的作者利用了C/C++和一些第三方库,如 Boost 和 Protobuf。
FontOnLake 是模块化的恶意软件,利用自定义二进制文件来感染目标机器并执行恶意代码。虽然ESET仍在调查FontOnLake,但该公司表示,在其已知的组件中,有被用来加载后门、rootkits和收集信息的木马应用程序。
总共有三个后门也与 FontOnLake 有关。这些后门都是用C++编写的,并创建了一个通往同一C2的桥梁,用于数据外流。此外,它们能够发出 “心跳” 命令,以保持这种连接的活性。
FontOnLake 总是与一个内核模式的 rootkit 一起,在受感染的 Linux 机器上保持持久性。据 Avast 称,该 rootkit 是基于开源的 Suterusu 项目。
以下是ESET发布的技术白皮书,研究 FontOnLake。
#ThreatIntelligence #malware