FontOnLake-Malware

Forscher von Infosec haben eine bisher unbekannte Familie von Malware-Bedrohungen entdeckt. Diese neuen bedrohlichen Kreationen zeichnen sich durch maßgeschneiderte Module aus, die sich in aktiver Entwicklung befinden. Der Name dieser neu etablierten Malware-Familie lautet FontOnLake und scheint hauptsächlich auf Linux-Systeme abzuzielen. Das Ziel der Angreifer besteht darin, einen Hintertür-Zugriff auf den kompromittierten Computer herzustellen und sensible Daten, wie beispielsweise Benutzeranmeldeinformationen, zu sammeln.

Der Bedrohungsakteur legt großen Wert darauf, unbemerkt zu bleiben. Sie verwendeten hauptsächlich C/C++ und mehrere Bibliotheken von Drittanbietern, darunter Boost, Poco und Protobuf, um die FontOnLake-Bedrohungen zu erstellen. Die Operationen mit dieser Malware-Familie scheinen ebenfalls sehr zielgerichtet und auf die Region Südostasien ausgerichtet zu sein

FontOnLake-Struktur

FontOnLake verwendet mehrere Techniken, um verborgen zu bleiben und seine Chancen zu erhöhen, einer Entdeckung zu entgehen. Es verwendet legitime Binärdateien, die geändert werden, um beschädigte Komponenten zu laden. FontOnLake wird auch immer von einem Rootkit begleitet, das auf dem infizierten Computer bereitgestellt wird. Insgesamt lassen sich die beobachteten Komponenten dieser Malware-Familie in drei verschiedene Kategorien einteilen – trojanisierte Anwendungen, Backdoors und Rootkits.

Jeder hat eine eigene Rolle. Die waffengestützten Anwendungen bestehen aus legitimen Binärdateien, die umprogrammiert werden, um bösartige Aktivitäten auszuführen, wie zum Beispiel das Sammeln von Daten oder das Bereitstellen zusätzlicher Module.Natürlich werden die Backdoors von den Angreifern als Hauptkommunikationskanäle genutzt, während sich die Rootkits auf Kernel-Ebene des Systems einbetten und dabei helfen, die Aktionen der Bedrohung zu verschleiern, Updates zu ermöglichen oder als Fallback-Backdoors fungieren.

Erkannte Komponentenvarianten

Die Forscher entdeckten mehrere waffengestützte Anwendungen. Dies waren alles Standard-Linux-Dienstprogramme, die modifiziert wurden, um Daten zu sammeln oder die benutzerdefinierten Backdoor- oder Rootkit-Komponenten zu laden. Da sie typischerweise beim Systemstart ausgeführt werden, können sie auch als Persistenzmechanismen dienen.

Die verschiedenen Backdoors wurden bisher bei FontOnLake-Angriffen beobachtet. Sie verwenden Bibliotheken von Boost, Poco, Rrotobuf und einige Funktionen von STL, einschließlich intelligenter Zeiger. Die Backdoors weisen gewisse Überschneidungen in der Funktionalität auf, wie zum Beispiel die Möglichkeit, gesammelte Daten zu exfiltrieren, das Dateisystem zu manipulieren, als Proxy zu fungieren und beliebige Befehle auszuführen.

Bisher wurden zwei separate FontOnLake-Rootkits identifiziert. Beide basieren auf dem Open-Source-Projekt suterusu, beinhalten aber mehrere maßgeschneiderte Techniken. Die beiden Versionen unterscheiden sich voneinander ausreichend, aber sie überschneiden sich auch in bestimmten Funktionalitäten. Beide sind in der Lage, Prozesse und Dateien zu verstecken, Netzwerkverbindungen zu maskieren, Portweiterleitungen zu verwenden, spezielle Datenpakete von den Angreifern zu empfangen und die gesammelten Zugangsdaten zur Exfiltration an die Hintertür zu liefern.