מחקר: נוזקת FontOnLake פוגעת במערכות לינוקס באמצעות מתקפות ממוקדות
מאת:
מערכת Telecom News, 13.10.21, 11:10
הנוזקה החדשה מלווה בערכת רוטקיט כדי להתבסס בחוזקה במכשירים פגיעים.
חוקרי חברת אבטחת המידע
ESET מדווחים על משפחת נוזקות חדשה בשם
FontOnlake המשתמשת במודולים מותאמים ומעוצבים היטב המכוונים למערכות הפעלה מסוג לינוקס. המודולים, שמשמשים את הנוזקה, נמצאים תחת פיתוח מתמיד ומספקים גישה מרחוק למפעילים, אוספים מידע ומשמשים כשרת פרוקסי.
דגימות של הנוזקה הופיעו בווירוס טוטאל כבר במאי 2020, אך שרתי השליטה והבקרה הייחודיים המקושרים לקבצים אלה כבר אינם פעילים, דבר המצביע על כך, שהם נוטרלו בעקבות העלתם לווירוס טוטאל וחשיפתם. כדי להסתיר את קיומה, הנוזקה תמיד מלווה בערכת רוטקיט.
מערכות לינוקס, שמהוות מטרה למתקפה הממוקדת, ממוקמים, ככל הנראה, בדרום מזרח אסיה.
בחברה סבורים, כי העובדה, שכל הדגימות משתמשות בכתובות שרתי
C&C ופורטים ייחודיים, מצביעה על כך, שהמפעילים זהירים במיוחד, כדי שלא להיחשף. בנוסף, המפעילים עושים שימוש בשפות התכנות
C/C++, ובמספר ספריות צד שלישי כמו
Boost ו-
Protobuf.
משפחת הנוזקות
FontOnLake מתוחכמת ועושה שימוש בקבצים בינאריים לגיטימיים ומותאמים אישית במטרה לטעון רכיבים נוספים של הנוזקה.
בעוד החברה עדיין חוקרת את הנוזקה, היא מציינת, שבין המרכיבים המוכרים שלה נמצאות אפליקציות לגיטימיות, שהותאמו והפכו לסוסים טרויאנים המשמשים לטעינת דלתות אחוריות, ערכות
root ואיסוף מידע.
3 דלתות אחוריות חוברו לנוזקה, כולן כתובות ב-
C++ ויוצרות חיבור לשרת ה
C&C להזרמת נתונים. בנוסף, הן שולחות פקודות כל פרק זמן מסוים במטרה לשמור על החיבור הזה פעיל.
חברות ואנשים, שרוצים להגן על תחנות הקצה או שרתי הלינוקס מפני האיום, צריכים להשתמש במוצר אבטחה רב שכבתי ובגרסה עדכנית.
פרטים נוספים -
כאן.