Connect with us

Deutsch

FontOnLake-Malware trifft Linux-Systeme mit gezielten Angriffen

Published

on

Eine bislang unentdeckte Malware-Marke wird bei gezielten Angriffen auf Linux-Systeme eingesetzt.

Laut Forschern des Cybersicherheitsunternehmens ESET scheint die Malware mit dem Namen FontOnLake gut konzipiert zu sein und enthält während der aktiven Entwicklung bereits Fernzugriffsoptionen, Funktionen zum Diebstahl von Anmeldeinformationen und kann Proxy-Server initialisieren.

FontOnLake-Beispiele erschienen erstmals im Mai 2020 auf VirusTotal, aber die mit diesen Dateien verknüpften Command-and-Control-Server (C2) sind deaktiviert, was nach Ansicht der Forscher an den Uploads liegen könnte.

Die Forscher fügten hinzu, dass sich Linux-Systeme, die von der Malware betroffen sind, möglicherweise in Gebieten wie Südostasien befinden.

ESET glaubt, dass die Betreiber “übervorsichtig” sind, wenn sie erwischt und ihre Aktivitäten aufgedeckt werden, da fast alle erhaltenen Proben unterschiedliche C2-Serveradressen und eine Vielzahl von Ports verwenden. Darüber hinaus verwenden die Autoren der Malware C/C++ und eine Reihe von Bibliotheken von Drittanbietern wie Boost und Protobuf.

FontOnLake ist eine modulare Malware, die benutzerdefinierte Binärdateien nutzt, um einen Computer zu infizieren und bösartigen Code auszuführen. Während ESET FontOnLake noch untersucht, sagt das Unternehmen, dass zu seinen bekannten Komponenten trojanisierte Apps gehören, die zum Laden von Backdoors, Rootkits und zum Sammeln von Informationen verwendet werden.

“Patches der Anwendungen werden höchstwahrscheinlich auf Quellcode-Ebene angewendet, was darauf hindeutet, dass die Anwendungen kompiliert und die ursprünglichen ersetzt worden sein müssen”, sagt das Team.

Insgesamt wurden auch drei Backdoors mit FontOnLake verbunden. Die Backdoors sind alle in C++ geschrieben und bilden eine Brücke zum gleichen C2 für die Datenexfiltration. Außerdem können sie “Heartbeat”-Befehle ausgeben, um diese Verbindung aktiv zu halten.

FontOnLake wird immer mit einem Kernel-Mode-Rootkit verbunden, um die Persistenz auf einem infizierten Linux-Rechner aufrechtzuerhalten. Nach zu Avast, das Rootkit basiert auf dem Open-Source-Projekt Suterusu.

Tencent und Lacework Labs haben auch Untersuchungen zu anscheinend demselben Malware-Stamm veröffentlicht. ESET hat auch ein technisches Whitepaper (.PDF) veröffentlicht, das FontOnLake untersucht.

Frühere und verwandte Berichterstattung


Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0


Continue Reading

Copyright © 2021 Meta Mag Inc.