Tặng bộ plugin WordPress bản quyền trị giá $900 Nhận ngay
Bảo mật

Phần mềm độc hại FontOnLake lây nhiễm trên hệ thống Linux

author Đặng Hoài Đức - 2021-10-11 08:55:22 (GMT+7)

Một nhóm phần mềm độc hại có tên FontOnLake mới được phát hiện gần đây đã lây nhiễm vào các hệ thống Linux và được ẩn trong các tệp nhị phân (binary) của hệ thống. Phần mềm là mối đe dọa cung cấp các thành phần backdoor và rootkit.

FontOnLake có thiết kế rất tiên tiến, cho phép tồn tại rất lâu và khó bị phát hiện trên máy chủ bị nhiễm. 

FontOnLake ẩn bên trong các tiện ích phổ biến

FontOnLake có nhiều module tương tác với nhau và cho phép giao tiếp với hacker để đánh cắp dữ liệu. Và nguy hiểm hơn, chúng ẩn mình trên các hệ thống Linux.

Các nhà nghiên cứu ESET đã tìm thấy nhiều mẫu phần mềm độc hại đã được tải lên dịch vụ quét VirusTotal trong suốt năm qua, mẫu đầu tiên xuất hiện vào tháng 5 năm 2020.

Ngoài ra, họ cũng phát hiện ra FontOnLake phân phối và lây nhiễm thông qua các ứng dụng trojan. Các ứng dụng trojan này đã được hacker sửa đổi ở cấp mã nguồn.

Và đây là các tiện ích Linux mà hacker đã thay đổi để cung cấp cho FontOnLake:

  • cat - được sử dụng để in nội dung của một tập tin
  • kill - liệt kê tất cả các quy trình đang chạy
  • sftp - tiện ích FTP an toàn
  • sshd - quy trình máy chủ OpenSSH

FontOnLake dựa trên rootkit mã nguồn mở

Theo một báo cáo kỹ thuật gần đây, ESET lưu ý sự hiện diện của FontOnLake trên một hệ thống bị xâm nhập đã bị ẩn bởi một thành phần rootkit. Thành phần này chịu trách nhiệm cập nhật và cung cấp các backdoor - cửa sau.

Các rootkit được ESET tìm thấy trên các máy chủ Linux chạy kernel 2.6.32-696.el6.x86_643.10.0-229.el7.X86_64. Được phát hiện dựa trên một dự án rootkit mã nguồn mở 8 năm tuổi có tên là Suterusu và có thể ẩn các quy trình, tệp, bản thân nó và kết nối mạng.

Các nhà nghiên cứu tin rằng tác giả của FontOnLake “rất thành thạo về an ninh mạng”. Hiện tại, các máy chủ điều khiển phần mềm độc hại trên (C2) đã bị hủy để xóa dấu vết. 

Chia sẻ bài viết này
Nhận tin nóng liên quan đến Bảo mật bằng cách
Subscribe Kênh Telegram Tin công nghệ

Bài viết liên quan

BẢO MẬT
Tổng hợp các lỗ hổng bảo mật nguy hiểm được phát hiện trong năm 2021
author Đặng Hoài Đức 31 Tháng mười hai, 2021

BẢO MẬT
Hacker sử dụng rootkit HP iLO để xóa dữ liệu các máy chủ
author Đặng Hoài Đức 30 Tháng mười hai, 2021

BẢO MẬT
Các hacker Log4j chuyển sang khai thác tiền điện tử Monero
author Đặng Hoài Đức 17 Tháng mười hai, 2021

tin.123host.vnTin tức SysAdmin

Nơi cập nhật tin tức mới nhất dành cho SysAdmin.

Xem thêm