Исследование ESET раскрыло FontOnLake: Целенаправленное вредоносное ПО, атакующее Linux в Юго-Восточной Азии
БРАТИСЛАВА – Исследователи ESET обнаружили ранее неизвестное семейство вредоносных программ, использующих пользовательские и хорошо разработанные модули, нацеленные на операционные системы под управлением Linux. Модули, используемые этим семейством вредоносных программ, которые ESET окрестила FontOnLake, постоянно находятся в стадии разработки и обеспечивают удаленный доступ к операторам, собирают учетные данные и служат прокси-сервером. Местоположение сервера C&C и страны, из которых образцы были загружены в VirusTotal, могут указывать на то, что его цели включают Юго-Восточную Азию.
“Скрытый характер инструментов FontOnLake в сочетании с передовым дизайном и низкой распространенностью позволяет предположить, что они используются в целевых атаках”, - объясняет Владислав Хрчка, исследователь вредоносных программ ESET, проанализировавший эту угрозу. Для сбора данных или осуществления другой вредоносной деятельности это семейство вредоносных программ использует модифицированные законные двоичные файлы, которые настраиваются для загрузки дополнительных компонентов. На самом деле, чтобы скрыть свое существование, присутствие Фонтонлейка всегда сопровождается руткитом. Эти двоичные файлы обычно используются в системах Linux и могут дополнительно служить механизмом сохранения.
Исследователи ESET считают, что операторы FontOnLake чрезмерно осторожны, поскольку почти во всех образцах, которые видит ESET, используются разные уникальные серверы C&C с различными нестандартными портами. Авторы используют в основном C/C++ и различные сторонние библиотеки, такие как Boost, Poco и Protobuf.
Первый известный файл этого семейства вредоносных программ появился на VirusTotal в мае прошлого года, и другие образцы были загружены в течение года. Ни один из серверов C&C, используемых в образцах, загруженных в VirusTotal, не был активен на момент написания статьи, что указывает на то, что они могли быть отключены из-за загрузки.
Все известные компоненты FontOnLake определяются продуктами ESET как Linux/FontOnLake. “Компании или частные лица, которые хотят защитить свои конечные точки или серверы Linux от этой угрозы, должны использовать многоуровневый продукт безопасности и обновленную версию своего дистрибутива Linux; некоторые из проанализированных нами образцов были созданы специально для CentOS и Debian”, - советует Хрчка.
После открытия ESET Research при доработке белой книги FontOnLake такие поставщики, как Центр реагирования на проблемы безопасности Tencent, Avast и Лаборатории Lacework опубликовали свое исследование о том, что, по-видимому, является одной и той же вредоносной программой. ESET представит свои выводы о Фонтонлейке на виртуальной конференции AVAR 2021, которая состоится в начале декабря.
Для получения более подробной технической информации о FontOnLake прочитайте сообщение в блоге “FontOnLake: ранее неизвестное семейство вредоносных программ, нацеленных на Linux" в WeLiveSecurity. Дополнительные технические подробности можно найти в нашей всеобъемлющей белой книге. Обязательно следите за исследованиями ESET в Twitter, чтобы получать последние новости от ESET Research.
Российский поставщик интеллектуальных решений на базе искусственного интеллекта для обработки документов Content AI и лидирующая российская консалтинговая фирма в области услуг по управлению документами «ЕСМ-Консалтинг» сообщили о полном техническом согласовании своих ключевых решений: ContentCapture, Content AI Intelligent Search и архивной системы М1:Архив. Синергия этих технологий позволила создать единую непрерывную цепочку операций — начиная от поступления документа и заканчивая быстрым извлечением необходимой информации
Российская организация «Базальт СПО», занимающаяся разработкой операционных систем серии «Альт», подписала договор о партнерстве с Российским университетом дружбы народов (РУДН) в рамках образовательной инициативы «Альт Академия». Основная задача соглашения заключается в подготовке студентов и молодых профессионалов для эффективного использования российских программных решений и продвижении отечественных технологий среди молодого поколения ИТ-специалистов
Российские специалисты по информационным технологиям из группы компаний «КОРУС Консалтинг» и фирмы «Базальт СПО» доказали совместимость своей продукции — платформ no- и low-code для управления корпоративными данными «Авандок» и серверной версии операционной системы «Альт» 11-го поколения. После завершения тестирования стороны подписали специальный документ, подтверждающий взаимную совместимость продуктов
«Доктор Веб» анонсировал значительное обновление серверной части продуктов Dr.Web Enterprise Security Suite и Dr.Web Industrial версии 13.0.1.202511120, которое станет доступным для скачивания начиная с 15 декабря 2025 года. Основное нововведение заключается в расширении функционала модуля «Контроль приложений», позволяющего значительно повысить уровень защиты конечных пользователей.
На факультете вычислительной математики и кибернетики (ВМК) МГУ имени М.В. Ломоносова начала функционировать лаборатория свободного программного обеспечения, созданная при содействии компании «Базальт СПО». Студенты получают возможность реализовывать образовательные и научные проекты, связанные с созданием прикладного и кроссплатформенного программного обеспечения, а также заниматься сборкой образов операционных систем на основе платформы «Альт» для различных нужд.
Группа Arenadata проинформировала о выпуске обновлений для системы управления базами данных Arenadata QuickMarts (ADQM) и дополнительного модуля ADQM Control, которые теперь совместимы с российской операционной системой «Альт СП» (версия 10), разработанной компанией «Базальт СПО». Такое решение принято в рамках общей стратегии адаптации продуктовых предложений под требования современных заказчиков бизнеса.
Компания «Базальт СПО» презентовала свежую версию приложения WineHelper, предназначенную для удобной инсталляции и функционирования программ Windows в операционных системах серии «Альт». Среди нововведений — удобный графический интерфейс, поддержка альтернативных методов установки и скачивания приложений, а также встроенный инструмент для создания резервных копий установленных программ
Вышло обновление серверов Dr.Web Enterprise Security Suite и Dr.Web Industrial. Новая версия включает улучшения стабильности и новые инструменты централизованного управления действиями при обнаружении угроз на устройствах под управлением Android. Для получения всех преимуществ и корректной работы системы пользователям рекомендуется обновить серверы до актуальной версии
Ваши контактные данные не публикуются на сайте.