Threat Database Backdoors FontOnLakeマルウェア

FontOnLakeマルウェア

Infosecの研究者は、これまで知られていなかったマルウェアの脅威のファミリーを発見しました。これらの新しい脅威的な作品は、活発に開発されているカスタムビルドモジュールを持っていることを特徴としています。この新しく確立されたマルウェアファミリーに付けられた名前はFontOnLakeであり、主にLinuxシステムをターゲットにしているようです。攻撃者の目的は、侵入先のマシンへのバックドアアクセスを確立し、ユーザーの資格情報などの機密データを収集することです。

脅威アクターは、見過ごされ続けることに重点を置いています。 FontOnLakeの脅威を作成する際には、主にC / C ++と、Boost、Poco、Protobufなどのいくつかのサードパーティライブラリを使用していました。このマルウェアファミリーに関連する操作も、東南アジア地域をターゲットにして集中しているようです。

FontOnLake構造

FontOnLakeは複数の手法を使用して非表示のままにし、検出を回避する可能性を高めます。破損したコンポーネントをロードするために変更されている正当なバイナリを利用します。 FontOnLakeには、感染したマシンにデプロイされたルートキットも常に付属しています。全体として、このマルウェアファミリの観察されたコンポーネントは、トロイの木馬化されたアプリケーション、バックドア、ルートキットの3つの異なるカテゴリに分類できます。

それぞれが異なる役割を担っています。武器化されたアプリケーションは、データの収集や追加モジュールの配信など、悪意のあるアクティビティを実行するように再プログラムされた正当なバイナリで構成されています。当然、バックドアは攻撃者によって主要な通信チャネルとして使用されますが、ルートキットはシステムのカーネルレベルに組み込まれ、脅威のアクションの偽装、更新の促進、またはフォールバックバックドアとして機能します。

検出されたコンポーネントバリアント

複数の兵器化されたアプリケーションが研究者によって発見されました。これらはすべて、データを収集したり、カスタムバックドアまたはルートキットコンポーネントをロードしたりするように変更された標準のLinuxユーティリティでした。これらは通常、システムの起動時に実行されるため、永続化メカニズムとしても機能します。

これまで、さまざまなバックドアがFontOnLake攻撃で使用されていることが確認されています。それらは、Boost、Poco、Rrotobufのライブラリ、およびスマートポインタを含むSTLのいくつかの機能を採用しています。バックドアは、収集されたデータを盗み出し、ファイルシステムを操作し、プロキシとして機能し、任意のコマンドを実行できるなど、機能の特定の重複を表示します。

これまでに、2つの別々のFontOnLakeルートキットが特定されています。どちらもsuterusuオープンソースプロジェクトに基づいていますが、いくつかのカスタムメイドの手法が含まれています。 2つのバージョンは互いに異なります十分ですが、特定の機能でも重複しています。どちらも、プロセスとファイルの隠蔽、ネットワーク接続のマスキング、ポート転送、攻撃者からの特別なデータパケットの受信、および収集されたクレデンシャルをバックドアに配信して侵入することができます。

トレンド

最も見られました

読み込んでいます...