Μια προηγουμένως άγνωστη, οικογένεια προγραμμάτων κακόβουλου λογισμικού που στοχεύει τα συστήματα Linux έχει χρησιμοποιηθεί σε στοχοθετημένες επιθέσεις για τη συλλογή διαπιστευτηρίων και να αποκτήσουν πρόσβαση σε συστήματα υπολογιστών, ανέφερε την Πέμπτη η ESET. Η οικογένεια Malware που ονομάζεται Fontonlake, χρησιμοποιεί ένα rootkit για να αποκρύψει την παρουσία της και με τη χρήση διαφορετικούς διακομιστές ελέγχου των μολυσμένων υπολογιστών κάθε φορά. Αυτό δείχνει πόσο προσεκτικοί είναι οι χειριστές του συγκεκριμένου malware και ότι προσπαθούν να μην εντοπίζονται εύκολα
Επιπλέον, οι προγραμματιστές κακόβουλου λογισμικού τροποποιούν συνεχώς τις τα αρθρώματα από τα οποία αποτελείται το FontonLake, ενώ οι κατηγορίες εργαλείων που χρησιμοποιούνται είναι μολυσμένες εφαρμογές που φέρουν δούρειο ίππο (trojan), backdoors και rootkits.
Τα στοιχεία δείχνουν ότι η Fontonlake έχει χρησιμοποιηθεί σε επιθέσεις σε οργανισμούς στη Νοτιοανατολική Ασία. Τα πρώτα δείγματα κακόβουλου λογισμικού που σχετίζονται με αυτή την οικογένεια εμφανίστηκαν τον περασμένο Μάιο. Το κακόβουλο λογισμικό έχει ήδη αναγνωριστεί από το Avast και το Lacework ως HCRootkit / Sutersu Linux rootkit, καθώς και από το κέντρο ανταπόκρισης ασφαλείας Tencent στην αναφορά του Φεβρουαρίου.
Οι διάφορες μολυσμένες εφαρμογές που φέρουν δούρειο ίππο που οι ερευνητές της ESET έχουν εντοπίσει κατά τη διάρκεια της έρευνάς τους χρησιμοποιούνται για τη φόρτωση backdoor και rootkit, αλλά και για τη συλλογή ευαίσθητων δεδομένων όταν χρειάζεται. Εμφανιζόμενα ως τυπικά βοηθητικά προγράμματα Linux, τα αρχεία αυτά σχεδιάστηκαν επίσης για να παραμένουν στα συστήματα που επιτίθονται, ακόμα και μετά από φορματ. Αυτό που οι ερευνητές δεν έχουν καταλάβει ακόμα είναι ο τρόπος με τον οποίο οι μολυσμένες εφαρμογές παραδίδονται στα θύματα. Η ανάλυση της ESET για το Fontonlake αποκάλυψε τη χρήση τριών διαφορετικών backdoors, όλα γραμμένα στο C ++, με την ίδια βιβλιοθήκη Asio από το Boost και όλα ικανά να εξουδετερώσουν τα διαπιστευτήρια SSHD και το ιστορικό εντολών Bash.
Το απλούστερο από τα τρία σχεδιάστηκε για να ξεκινήσει και αποκτήσει την πρόσβαση σε έναν τοπικό διακομιστή SSH, να ενημερωθεί και να μεταδώσει τα συλλεγόμενα διαπιστευτήρια . Το κακόβουλο λογισμικό φαίνεται να είναι ακόμα υπό ανάπτυξη.
from https://ift.tt/3v0QwbK
0 Σχόλια