Исследование ESET раскрыло FontOnLake: Целенаправленное вредоносное ПО, атакующее Linux в Юго-Восточной Азии
БРАТИСЛАВА – Исследователи ESET обнаружили ранее неизвестное семейство вредоносных программ, использующих пользовательские и хорошо разработанные модули, нацеленные на операционные системы под управлением Linux. Модули, используемые этим семейством вредоносных программ, которые ESET окрестила FontOnLake, постоянно находятся в стадии разработки и обеспечивают удаленный доступ к операторам, собирают учетные данные и служат прокси-сервером. Местоположение сервера C&C и страны, из которых образцы были загружены в VirusTotal, могут указывать на то, что его цели включают Юго-Восточную Азию.
“Скрытый характер инструментов FontOnLake в сочетании с передовым дизайном и низкой распространенностью позволяет предположить, что они используются в целевых атаках”, - объясняет Владислав Хрчка, исследователь вредоносных программ ESET, проанализировавший эту угрозу. Для сбора данных или осуществления другой вредоносной деятельности это семейство вредоносных программ использует модифицированные законные двоичные файлы, которые настраиваются для загрузки дополнительных компонентов. На самом деле, чтобы скрыть свое существование, присутствие Фонтонлейка всегда сопровождается руткитом. Эти двоичные файлы обычно используются в системах Linux и могут дополнительно служить механизмом сохранения.
Исследователи ESET считают, что операторы FontOnLake чрезмерно осторожны, поскольку почти во всех образцах, которые видит ESET, используются разные уникальные серверы C&C с различными нестандартными портами. Авторы используют в основном C/C++ и различные сторонние библиотеки, такие как Boost, Poco и Protobuf.
Первый известный файл этого семейства вредоносных программ появился на VirusTotal в мае прошлого года, и другие образцы были загружены в течение года. Ни один из серверов C&C, используемых в образцах, загруженных в VirusTotal, не был активен на момент написания статьи, что указывает на то, что они могли быть отключены из-за загрузки.
Все известные компоненты FontOnLake определяются продуктами ESET как Linux/FontOnLake. “Компании или частные лица, которые хотят защитить свои конечные точки или серверы Linux от этой угрозы, должны использовать многоуровневый продукт безопасности и обновленную версию своего дистрибутива Linux; некоторые из проанализированных нами образцов были созданы специально для CentOS и Debian”, - советует Хрчка.
После открытия ESET Research при доработке белой книги FontOnLake такие поставщики, как Центр реагирования на проблемы безопасности Tencent, Avast и Лаборатории Lacework опубликовали свое исследование о том, что, по-видимому, является одной и той же вредоносной программой. ESET представит свои выводы о Фонтонлейке на виртуальной конференции AVAR 2021, которая состоится в начале декабря.
Для получения более подробной технической информации о FontOnLake прочитайте сообщение в блоге “FontOnLake: ранее неизвестное семейство вредоносных программ, нацеленных на Linux" в WeLiveSecurity. Дополнительные технические подробности можно найти в нашей всеобъемлющей белой книге. Обязательно следите за исследованиями ESET в Twitter, чтобы получать последние новости от ESET Research.
Кибер Бэкап Облачный, сервис резервного копирования и восстановления данных (BaaS) от компании «Киберпротект», стал доступен пользователям облачной платформы RCloud by 3data. Решение позволяет организациям любого масштаба — от малых предприятий до крупного бизнеса, обеспечить надёжную защиту данных с минимальными трудозатратами, без капитальных вложений и без необходимости развёртывания собственной инфраструктуры для резервного копирования и хранения резервных копий
Киберпротект расширяет линейку инфраструктурного ПО и представляет новый продукт — Кибер Хранилище — простое в эксплуатации хранилище данных c возможностью неограниченного масштабирования и реализации геораспределенных решений.
Киберпротект сообщает о расширении линейки продуктов для защиты данных пользователей от потери. У Кибер Бэкапа Персонального теперь есть мобильная версия для устройств на базе ОС Android. Мобильное приложение работает в фоновом режиме и обеспечивает сохранность данных на планшете или смартфоне, а также их быстрое восстановление в любой непредвиденной ситуации.
В новой версии песочницы появилось интерактивное взаимодействие в режиме VNC, интеграция с Microsoft AMSI для анализа вредоносных скриптов на PowerShell, расширены возможности статического анализа файлов, а требования к оборудованию теперь могут быть снижены вдвое за счёт использования облачного сервиса репутации индикаторов
«Отечественный софт» - крупнейшее объединение производителей российского программного обеспечения. Это членство открывает новые возможности для продвижения отечественных ИТ-решений и укрепления отраслевого сотрудничества.
Компания Dr.Web представляет новую версию Dr.Web Katana 2.0 — усовершенствованное решение, предназначенное для упреждающей защиты от современных киберугроз. Этот продукт выступает в роли дополнительного антивирусного «щита», усиливая безопасность в сочетании с решениями других вендоров.
К этой дате «Лаборатория Касперского» выпустила ежегодный отчёт о кибератаках с использованием программ-вымогателей. В документе анализируются глобальные тенденции таких атак
Ваши контактные данные не публикуются на сайте.