-
09/04/2020
-
93
-
613 bài viết
Cảnh báo phần mềm độc hại FontOnLake Rootkit nhắm mục tiêu vào các hệ thống Linux
Các nhà nghiên cứu an ninh mạng đã trình bày chi tiết về một chiến dịch mới có khả năng nhắm mục tiêu các công ty ở Đông Nam Á bằng phần mềm độc hại Linux chưa được công nhận trước đây. Phần mềm độc hại này cho phép tin tặc truy cập từ xa, tích lũy thông tin xác thực và hoạt động như một proxy server.
Họ phần mềm độc hại có tên gọi là "FontOnLake" của công ty an ninh mạng ESET của Slovakia được cho là có "well-designed module" liên tục được nâng cấp với các tính năng mới, cho thấy một giai đoạn phát triển tích cực. Các mẫu được tải lên VirusTotal chỉ ra khả năng rằng những cuộc xâm nhập đầu tiên sử dụng mối đe dọa này đã xảy ra vào đầu tháng 5 năm 2020. Avast và Lacework Labs đang theo dõi cùng một phần mềm độc hại dưới biệt danh HCRootkit.
"Bản chất các công cụ của FontOnLake kết hợp với thiết kế tiến bộ và ít được biết tới cho thấy chúng được sử dụng trong các cuộc tấn công có chủ đích. Để thu thập dữ liệu hoặc tiến hành các hoạt động độc hại khác, họ phần mềm độc hại này sử dụng các mã nhị phân hợp pháp đã sửa đổi được điều chỉnh để tải các thành phần khác. Trên thực tế, để che giấu sự tồn tại của nó, sự hiện diện của FontOnLake luôn đi kèm với rootkit. Các mã nhị phân này thường được sử dụng trên các hệ thống Linux và cũng có thể đóng vai trò như một cơ chế bền bỉ” - nhà nghiên cứu Vladislav Hrčka của ESET cho biết .
Bộ công cụ của FontOnLake có ba thành phần bao gồm các phiên bản đã được trojan hóa của các tiện ích Linux hợp pháp được sử dụng để tải các kernel-mode rootkit và các user-mode backdoor. Tất cả đều giao tiếp với nhau bằng các tệp ảo. Bản thân các thiết bị cấy ghép dựa trên C ++ được thiết kế để giám sát hệ thống, bí mật thực hiện các lệnh trên mạng và lấy lại thông tin đăng nhập tài khoản.
Sự hoán đổi vị trí thứ hai của backdoor cũng đi kèm với khả năng hoạt động như một proxy, thao tác với các tệp, tải xuống các tệp tùy ý. Trong khi biến thể thứ ba - bên cạnh việc kết hợp các tính năng từ hai backdoor khác - được trang bị để thực thi các tập lệnh Python và lệnh shell.
ESET cho biết họ đã tìm thấy hai phiên bản khác nhau của bộ rootkit Linux dựa trên một dự án mã nguồn mở có tên là Suterusu, bao gồm ẩn các quy trình, tệp, kết nối mạng và chính nó, đồng thời có thể thực hiện các hoạt động tệp và giải nén hay thực thi user-mode backdoor.
Hiện tại vẫn chưa có thông tin về cách những kẻ tấn công có được quyền truy cập ban đầu vào mạng, nhưng các chuyên gia lưu ý rằng tác nhân đe dọa đằng sau các cuộc tấn công là "nguy hiểm" để tránh để lại bất kỳ dấu vết nào bằng cách dựa vào lệnh và kiểm soát khác nhau, duy nhất máy chủ (C2) có các cổng không chuẩn khác nhau. Tất cả các máy chủ C2 được quan sát trong phần tạo tác VirusTotal không còn hoạt động.
Hrčka nói: “Quy mô và thiết kế tiên tiến của chúng cho thấy rằng tác giả của phần mềm này rất thành thạo về an ninh mạng và những công cụ này có thể được sử dụng lại trong các chiến dịch trong tương lai. Vì hầu hết các tính năng được thiết kế chỉ để che giấu sự hiện diện của phần mềm độc hại, chuyển tiếp giao tiếp và cung cấp quyền truy cập backdoor, chúng tôi tin rằng các công cụ này được sử dụng chủ yếu để duy trì cơ sở hạ tầng phục vụ một số mục đích độc hại khác chưa xác định”.
Họ phần mềm độc hại có tên gọi là "FontOnLake" của công ty an ninh mạng ESET của Slovakia được cho là có "well-designed module" liên tục được nâng cấp với các tính năng mới, cho thấy một giai đoạn phát triển tích cực. Các mẫu được tải lên VirusTotal chỉ ra khả năng rằng những cuộc xâm nhập đầu tiên sử dụng mối đe dọa này đã xảy ra vào đầu tháng 5 năm 2020. Avast và Lacework Labs đang theo dõi cùng một phần mềm độc hại dưới biệt danh HCRootkit.
"Bản chất các công cụ của FontOnLake kết hợp với thiết kế tiến bộ và ít được biết tới cho thấy chúng được sử dụng trong các cuộc tấn công có chủ đích. Để thu thập dữ liệu hoặc tiến hành các hoạt động độc hại khác, họ phần mềm độc hại này sử dụng các mã nhị phân hợp pháp đã sửa đổi được điều chỉnh để tải các thành phần khác. Trên thực tế, để che giấu sự tồn tại của nó, sự hiện diện của FontOnLake luôn đi kèm với rootkit. Các mã nhị phân này thường được sử dụng trên các hệ thống Linux và cũng có thể đóng vai trò như một cơ chế bền bỉ” - nhà nghiên cứu Vladislav Hrčka của ESET cho biết .
Bộ công cụ của FontOnLake có ba thành phần bao gồm các phiên bản đã được trojan hóa của các tiện ích Linux hợp pháp được sử dụng để tải các kernel-mode rootkit và các user-mode backdoor. Tất cả đều giao tiếp với nhau bằng các tệp ảo. Bản thân các thiết bị cấy ghép dựa trên C ++ được thiết kế để giám sát hệ thống, bí mật thực hiện các lệnh trên mạng và lấy lại thông tin đăng nhập tài khoản.
Sự hoán đổi vị trí thứ hai của backdoor cũng đi kèm với khả năng hoạt động như một proxy, thao tác với các tệp, tải xuống các tệp tùy ý. Trong khi biến thể thứ ba - bên cạnh việc kết hợp các tính năng từ hai backdoor khác - được trang bị để thực thi các tập lệnh Python và lệnh shell.
ESET cho biết họ đã tìm thấy hai phiên bản khác nhau của bộ rootkit Linux dựa trên một dự án mã nguồn mở có tên là Suterusu, bao gồm ẩn các quy trình, tệp, kết nối mạng và chính nó, đồng thời có thể thực hiện các hoạt động tệp và giải nén hay thực thi user-mode backdoor.
Hiện tại vẫn chưa có thông tin về cách những kẻ tấn công có được quyền truy cập ban đầu vào mạng, nhưng các chuyên gia lưu ý rằng tác nhân đe dọa đằng sau các cuộc tấn công là "nguy hiểm" để tránh để lại bất kỳ dấu vết nào bằng cách dựa vào lệnh và kiểm soát khác nhau, duy nhất máy chủ (C2) có các cổng không chuẩn khác nhau. Tất cả các máy chủ C2 được quan sát trong phần tạo tác VirusTotal không còn hoạt động.
Hrčka nói: “Quy mô và thiết kế tiên tiến của chúng cho thấy rằng tác giả của phần mềm này rất thành thạo về an ninh mạng và những công cụ này có thể được sử dụng lại trong các chiến dịch trong tương lai. Vì hầu hết các tính năng được thiết kế chỉ để che giấu sự hiện diện của phần mềm độc hại, chuyển tiếp giao tiếp và cung cấp quyền truy cập backdoor, chúng tôi tin rằng các công cụ này được sử dụng chủ yếu để duy trì cơ sở hạ tầng phục vụ một số mục đích độc hại khác chưa xác định”.
Nguồn: The Hacker News