מחקר: נוזקת FontOnLake פוגעת במערכות לינוקס באמצעות מתקפות ממוקדות

למאמר הבא
ESET

חוקרי חברת אבטחת המידע ESET מדווחים על משפחת נוזקות חדשה בשם FontOnlake אשר משתמשת במודולים מותאמים ומעוצבים היטב המכוונים למערכות הפעלה מסוג לינוקס. המודולים אשר משמשים את הנוזקה נמצאים תחת פיתוח מתמיד ומספקים גישה מרחוק למפעילים, אוספים מידע ומשמשים כשרת פרוקסי.

דגימות של הנוזקה הופיעו בוירוס טוטאל כבר במאי 2020, אך שרתי השליטה והבקרה הייחודיים המקושרים לקבצים אלו כבר אינם פעילים, דבר המצביע על כך שהם נוטרלו בעקבות העלתם לוירוס טוטאל וחשיפתם. בכדי להסתיר את קיומה, הנוזקה תמיד מלווה בערכת רוטקיט.

מערכות לינוקס אשר מהוות מטרה למתקפה הממוקדת ככל הנראה ממוקמים בדרום מזרח אסיה.

ב-ESET סבורים כי העובדה שכל הדגימות משתמשות בכתובות שרתי C&C ופורטים ייחודיים מצביעה על כך שהמפעילים זהירים במיוחד, במטרה שלא להיחשף. בנוסף, המפעילים עושים שימוש בשפות התכנות C/C++, ובמספר ספריות צד שלישי כמו Boost ו-Protobuf.

משפחת הנוזקות FontOnLake מתוחכמת ועושה שימוש בקבצים בינאריים לגיטימיים ומותאמים אישית במטרה לטעון רכיבים נוספים של הנוזקה.

בעוד ESET עדיין חוקרת את הנוזקה, היא מציינת כי בין המרכיבים המוכרים שלה נמצאות אפליקציות לגיטימיות שהותאמו והפכו לסוסים טרויאנים המשמשים לטעינת דלתות אחוריות, ערכות root ואיסוף מידע.

שלוש דלתות אחוריות חוברו לנוזקה, כולן כתובות ב-C++ ויוצרות חיבור לשרת הC&C להזרמת נתונים. בנוסף, הן שולחות פקודות כל פרק זמן מסוים במטרה לשמור על החיבור הזה פעיל.

חברות ואנשים שרוצים להגן על תחנות הקצה או שרתי הלינוקס מפני האיום צריכים להשתמש במוצר אבטחה רב שכבתי ובגרסה עדכנית.

את המאמר המלא, ניתן לקרוא כאן.