I ricercatori di ESET hanno individuato una famiglia di malware che utilizza moduli personalizzati e ben progettati e mira a sistemi che eseguono Linux. I moduli utilizzati da questa famiglia di malware, soprannominata FontOnLake, sono costantemente in fase di sviluppo e forniscono accesso remoto agli operatori, raccolgono credenziali e fungono da server proxy.
FontOnLake utilizza binari legittimi modificati che vengono adattati per caricare ulteriori componenti. Per nasconderne la sua esistenza, la presenza di FontOnLake è sempre accompagnata da un rootkit. Questi binari come cat, kill o sshd sono comunemente usati sui sistemi Linux e possono fungere da meccanismo di persistenza.
“La natura subdola degli strumenti di FontOnLake in combinazione con un design avanzato e una bassa prevalenza suggerisce che vengano utilizzati in attacchi mirati. Il primo file noto di questa famiglia di malware è apparso su VirusTotal lo scorso maggio e altri campioni sono stati caricati nel corso dell’anno. La posizione del server C&C e i paesi da cui i campioni sono stati caricati su VirusTotal potrebbero indicare che i suoi obiettivi includono il sud-est asiatico”, si legge nel report.
Gli esperti di Esete ritengono che gli operatori di FontOnLake siano particolarmente cauti in quanto quasi tutti i campioni osservati utilizzano server C&C unici con diverse porte non standard.
I componenti utilizzati da FontOnLake possono essere suddivisi nei tre seguenti gruppi che interagiscono tra loro:
- Applicazioni trojan: binari legittimi modificati che vengono adattati per caricare ulteriori componenti, raccogliere dati o condurre altre attività dannose.
- Backdoor: componenti in modalità utente che fungono da punto di comunicazione principale per i suoi operatori.
- Rootkit: componenti in modalità kernel che per lo più nascondono e mascherano la loro presenza, aiutano con gli aggiornamenti o forniscono backdoor di fallback.
Gli esperti hanno scoperto più applicazioni trojanizzate, utilizzate principalmente per caricare moduli backdoor o rootkit personalizzati. Inoltre, possono anche raccogliere dati sensibili. Tutti i file trojanizzati sono utilità Linux standard e ciascuno serve come metodo di persistenza poiché vengono comunemente eseguiti all’avvio del sistema.
Al momento il metodo iniziale in cui queste applicazioni trojanizzate arrivano alle loro vittime non è noto. La comunicazione di un’applicazione trojanizzata con il suo rootkit avviene attraverso un file virtuale, che viene creato e gestito dal rootkit. I dati possono essere letti/scritti da/verso il file virtuale ed esportati con la sua componente backdoor su richiesta dell’operatore.
Le tre diverse backdoor scoperte sono scritte in C++ e hanno tutte la stessa funzionalità: esfiltrare le credenziali raccolte e la cronologia dei comandi bash nel proprio C&C.
Tutte le backdoor utilizzano inoltre comandi heartbeat personalizzati inviati e ricevuti periodicamente per mantenere attiva la connessione.
La funzionalità complessiva di queste backdoor consiste nei seguenti metodi
- Esfiltrazione dei dati raccolti
- Creazione di un bridge tra un server ssh personalizzato in esecuzione localmente e il relativo C&C
- Manipolare i file (ad esempio, caricare/scaricare, creare/eliminare, elencare le directory, modificare gli attributi e così via)
- Fungere da proxy
- Esecuzione di comandi di shell arbitrari e script Python
Infine, i ricercatori hanno scoperto due versioni marginalmente diverse del rootkit, usate solo una alla volta, in ciascuna delle tre backdoor. Entrambe presentano differenze significative tra questi due rootkit, tuttavia alcuni aspetti si sovrappongono. Le due versioni rootkit contengono molte delle loro tecniche esclusive e personalizzate.
