FontOnLake Malware

Les chercheurs d'Infosec ont découvert une famille de menaces de logiciels malveillants jusqu'alors inconnue. Ces nouvelles créations menaçantes se caractérisent par des modules personnalisés en cours de développement. Le nom donné à cette nouvelle famille de logiciels malveillants est FontOnLake et il semble cibler principalement les systèmes Linux. L'objectif des attaquants est d'établir un accès backdoor à la machine compromise et de collecter des données sensibles, telles que les informations d'identification des utilisateurs.

L'acteur menaçant met fortement l'accent sur le fait de rester inaperçu. Ils utilisaient principalement C/C++ et plusieurs bibliothèques tierces, dont Boost, Poco et Protobuf lors de la création des menaces FontOnLake. Les opérations impliquant cette famille de logiciels malveillants semblent également être très ciblées et concentrées sur la région de l'Asie du Sud-Est.

Structure FontOnLake

FontOnLake utilise plusieurs techniques pour rester caché et augmenter ses chances d'éviter la détection. Il utilise des binaires légitimes qui sont modifiés pour charger des composants corrompus. FontOnLake est également toujours accompagné d'un rootkit qui est déployé sur la machine infectée. Dans l'ensemble, les composants observés de cette famille de logiciels malveillants peuvent être divisés en trois catégories différentes : les applications trojanes, les portes dérobées et les rootkits.

Chacun est chargé d'un rôle distinct. Les applications armées se composent de fichiers binaires légitimes qui sont reprogrammés pour effectuer des activités malveillantes, telles que la collecte de données ou la fourniture de modules supplémentaires.Naturellement, les portes dérobées sont utilisées par les attaquants comme principaux canaux de communication, tandis que les rootkits s'intègrent au niveau du noyau du système et aident à masquer les actions de la menace, facilitent les mises à jour ou agissent comme des portes dérobées de secours.

Variantes de composant détectées

De multiples applications militarisées ont été découvertes par les chercheurs. Il s'agissait de tous les utilitaires Linux standard qui ont été modifiés pour collecter des données ou charger la porte dérobée personnalisée ou les composants du rootkit. Comme ils sont généralement exécutés au démarrage du système, ils peuvent également servir de mécanismes de persistance.

Les différentes portes dérobées ont jusqu'à présent été observées comme étant utilisées dans les attaques FontOnLake. Ils utilisent des bibliothèques de Boost, Poco, Rrotobuf et certaines fonctionnalités de STL, notamment des pointeurs intelligents. Les portes dérobées affichent certains chevauchements de fonctionnalités, telles que la possibilité d'exfiltrer les données collectées, de manipuler le système de fichiers, d'agir en tant que proxy et d'exécuter des commandes arbitraires.

Deux rootkits FontOnLake distincts ont été identifiés jusqu'à présent. Les deux sont basés sur le projet open source suterusu mais incluent plusieurs techniques sur mesure. Les deux versions sont distinctes l'une de l'autresuffisamment, mais ils se chevauchent également dans certaines fonctionnalités. Les deux sont capables de masquer des processus et des fichiers, de masquer des connexions réseau, de transférer des ports, de recevoir des paquets de données spéciaux des attaquants et de transmettre les informations d'identification collectées à la porte dérobée pour exfiltration.