FontOnLakeRootkit恶意软件正在威胁Linux系统此外,它的运营商可以远程访问。该恶意软件被斯洛伐克网络安全公司ESET称为“FontOnLake”,精心制作并不断更新模块,表明它正处于活跃的开发阶段。上传到VirusTotal的样本表明,利用这种威胁的第一次入侵可能早在2020年5月就发生了。ESET研究员VladislavHr?ka说:“FontOnLake是隐蔽的,结合先进的设计和低流行性,目前正被用于有针对性的攻击。到收集数据或执行其他恶意活动,这种类型的恶意软件使用修改后的合法二进制文件,这些二进制文件经过调整以加载其他组件。此外,为了隐藏其存在,FontOnLak总是伴随着一个rootkit。这些二进制文件通常在Linux系统上使用,也用于作为持久性机制。FontOnLake的工具集由三个组件组成,包括用于加载内核模式rootkit和用户模式后门的合法Linux实用程序的木马化版本,所有这些都使用虚拟文件相互通信。基于C++的植入程序本身旨在监控系统、暗中执行网络命令以及窃取帐户凭证也。后门的第二个变体还具有代理、操作文件、下载任意文件的功能,而第三个变体除了结合其他两个后门的功能外,还可以执行Python脚本和shell命令。ESET表示,它发现了两个不同版本的Linuxrootkit,它们基于一个名为Suterusu的开源项目。它们具有重叠的功能。除了隐藏自身,它们还包括隐藏进程、文件和网络连接。同时,它们还可以执行文件操作、提取和执行用户态后门。目前尚不清楚攻击者是如何获得对网络的初始访问权限的,但网络安全公司指出,攻击者通过依赖不同且唯一的命令和控制(C2)小心避免留下具有不同非标准端口的服务器任何痕迹以便在VirusTotal工件中观察到的所有C2服务器不再处于活动状态。“它们的大小和先进的设计表明作者精通网络安全,这些工具可能会在未来的活动中重复使用,”Hr?ka说。“由于大多数功能旨在隐藏它们的存在、中继通信和提供后门访问,我们认为这些工具主要用于其他恶意攻击。”参考来源:https://thehackernews.com/2021/10/researchers-warn-of-fontonlake-rootkit.html
