跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

FontOnLake Rootkit 恶意软件攻击 Linux 系统


CHT丨情报收集

推荐的帖子

网络安全研究人员详细介绍了一项新的黑客行动,该行动可能以东南亚的实体为目标,工具是一种以前未被识别的Linux恶意软件,该恶意软件被用于进行远程访问,此外还可以收集凭证和充当代理服务器。

该恶意软件家族被斯洛伐克网络安全公司ESET称为“FontOnLake”,据说具有“设计良好的模块”,可以不断升级新功能。上传到VirusTotal的样本表明,可能最早在2020年5月,利用该威胁的入侵就发生了。

Avast和Lacework实验室正在追踪同样的恶意软件,其代号是HCRootkit。

ESET研究人员Vladislav Hrčka说:“FontOnLake工具隐匿性强,再加上先进的设计和较低的攻击次数,都表明它们被用于有针对性的攻击。”“为了收集数据或进行其他恶意攻击,这个恶意软件家族使用修改过的合法二进制文件,这些二进制文件被用以加载进一步的组件。事实上,为了隐藏它的存在,FontOnLake总是与一个rootkit同时出现。这些二进制文件通常在Linux系统上使用,而且持续时间按比较长。”

FontOnLake的工具集包括三个组件,包括木马版本的合法Linux实用程序,该程序用于加载内核模式的rootkit和用户模式后门,所有这些都使用虚拟文件相互通信。基于c++的移植设备本身被设计用来监视系统,在网络上秘密执行命令,并窃取帐户凭证。

http://hackernews.cc/wp-content/uploads/2021/10/%E5%BE%AE%E4%BF%A1%E5%9B%BE%E7%89%87_20211009103303-600x430.jpg

后门的第二种排列还具有代理、操作文件、下载任意文件的功能,而第三个变体除了合并其他两个后门的功能外,还配备了执行Python脚本和shell命令的功能。

ESET表示,他们发现了两个不同版本的Linux rootkit,它们基于一个名为Suterusu的开源项目,在功能上有重叠,包括隐藏进程、文件、网络连接和自身,同时也能够执行文件操作,提取并执行用户模式的后门。

目前还不清楚攻击者是如何获得对网络的初始访问权限的,但这家网络安全公司指出,攻击背后的活动者“极度谨慎”,通过依赖不同的、特别的C2服务器和不同的非标准端口来避免留下任何痕迹。

Hrčka说:“攻击者对网络安全非常精通,这些工具可能在未来的活动中被重复使用。”“由于大多数功能的设计只是为了隐藏它的存在,中继通信,并提供后门访问,我们认为这些工具主要用于维护基础设施,以服务于其他未知的恶意目的。”

 

消息来源:TheHackerNews,译者:Zoeppo;

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc ” 并附上原文链接

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...