近期，網絡安全研究人員詳細介紹了一項可能針對東南亞實體的新型攻擊活動，該活動可能使用以前無法識別的Linux惡意軟件，除了收集憑據和充當代理服務器外，還可以遠程訪問其運營商。

[[428014]]

斯洛伐克網絡安全公司 ESET稱這類惡意軟件為“FontOnLake”，擁有精心設計且不斷升級的模塊，表明正處在開發的活躍階段。上傳到VirusTotal的樣本表明，利用這種威脅的第一次入侵可能在2020年5月就已經發生。

ESET研究員Vladislav Hrčka表示：FontOnLake具有隱蔽性，加上先進的設計和低流行率，目前被用于有針對性的攻擊。為了收集數據或進行其他惡意活動，這類惡意軟件使用修改后的合法二進制文件，這些文件經過調整以加載更多組件。此外，為了隱藏自身的存在，FontOnLak總是伴隨著一個 rootkit。這些二進制文件通常在Linux系統上使用，并且還可以作為一種持久性機制。

FontOnLake的工具集包括三個組件，它們由合法 Linux 實用程序的木馬化版本組成，用于加載內核模式的rootkits和用戶模式的后門，所有這些都使用虛擬文件相互通信。基于C++的植入程序本身旨在監控系統、在網絡上秘密執行命令以及泄露帳戶憑據。

該后門的第二個變體還具有充當代理、操作文件、下載任意文件的功能，而第三個變體除了結合其他兩個后門的功能外，還可以執行Python腳本和shell命令。

ESET表示發現了兩個不同版本的Linux rootkit，它們基于一個名為Suterusu的開源項目，在功能上有重疊之處，除了能隱藏自身外，還包括隱藏進程、文件、網絡連接，同時還能夠執行文件操作，提取并執行用戶模式的后門。

目前尚不清楚攻擊者如何獲得對網絡的初始訪問權限，但網絡安全公司指出，攻擊者非常謹慎，通過依賴不同且獨特的命令和控制 (C2) ，避免在具有不同非標準端口的服務器上留下任何痕跡，以至于在VirusTotal工件中觀察到的所有 C2 服務器都不再處于活動狀態。

“它們的規模和先進的設計表明作者精通網絡安全，這些工具可能會在未來的活動中重復使用，”Hrčka說。“由于大多數功能旨在隱藏其存在、中繼通信和提供后門訪問，我們認為這些工具主要為其它惡意攻擊提供服務支撐。”

參考來源：https://thehackernews.com/2021/10/researchers-warn-of-fontonlake-rootkit.html