Нове сімейство шкідливих програм атакує Linux

8 октябрь, 2021 - 14:09

Компанія ESET повідомляє про виявлення раніше невідомого сімейства шкідливих програм, яке використовує модулі, націлені на операційні системи Linux. Модулі, які отримали назву FontOnLake, знаходяться у стадії розробки та забезпечують віддалений доступ зловмисникам, а також збирають облікові дані та виконують роль проксі-сервера.

«Підступність інструментів FontOnLake у поєднанні з вдосконаленим дизайном та низьким рівнем поширення свідчить про те, що їх використовували у цілеспрямованих атаках», — пояснює Владислав Хрчка, дослідник ESET.

Сімейство шкідливих програм для збору даних або здійснення інших зловмисних дій використовує змінені легітимні бінарні файли, які налаштовані для завантаження інших компонентів. Для уникнення виявлення FontOnLake завжди використовується у поєднанні з руткітом. Ці бінарні файли зазвичай застосовуються в системах Linux та можуть допомагати залишатися непоміченими.

Деталі атак FontOnLake свідчать про те, що їх застосовували в цілеспрямовано. ESET.
Дослідники ESET вважають, що оператори FontOnLake дуже обережні, оскільки майже всі виявлені зразки мали унікальні командні сервери (C&C) з різними нестандартними портами. Крім цього, зловмисники використовують переважно C/C++ та різні сторонні бібліотеки, такі як Boost, Poco та Protobuf.

Перший файл цього сімейства шкідливих програм з’явився на VirusTotal у травні 2020 року року, тоді як інші зразки завантажувалися протягом року. Жоден із командних серверів зі зразків, завантажених у VirusTotal, не був активним на момент написання матеріалу. Це свідчить про те, що вони могли бути відключені у зв'язку із завантаженням. Розташування командного сервера та країн, з яких були завантажені зразки до VirusTotal, можуть свідчити про те, що ціллю загрози є Південно-Східна Азія. Рішення ESET виявляють усі відомі компоненти як Linux/FontOnLake.

«Компанії або окремі користувачі, які хочуть захистити свої робочі станції або сервери Linux від цієї загрози, повинні застосовувати потужні багаторівневі рішення, а також актуальну версію дистрибутива Linux, адже деякі з виявлених зразків шкідливого програмного забезпечення були розроблені спеціально для CentOS та Debian», — коментує Владислав Хрчка.