Аналитики ESET сообщают об обнаружении ранее неизвестного семейства вредоносных программ, которое использует модули, нацеленные на операционные системы Linux. Модули, которые получили название FontOnLake, находятся в стадии разработки и обеспечивают удаленный доступ злоумышленникам, а также собирают учетные данные и выполняют роль прокси-сервера.
Семейство вредоносных программ для сбора данных или осуществления других вредоносных действий использует измененные легитимные бинарные файлы, которые настроены для загрузки других компонентов. Для избегания обнаружения FontOnLake всегда используется в сочетании с руткитом. Эти бинарные файлы, как правило, применяются в системах Linux и могут помогать оставаться незамеченными.
Исследователи ESET считают, что операторы FontOnLake очень осторожны, так как почти все выявленные образцы имели уникальные командные серверы (C&C) с различными нестандартными портами. Кроме этого, злоумышленники используют преимущественно C/C++ и различные сторонние библиотеки, такие как Boost, Poco и Protobuf.
«Коварство инструментов FontOnLake в сочетании с усовершенствованным дизайном и низким уровнем распространения свидетельствует о том, что их применяли в целенаправленных атаках», — объясняет Владислав Хрчка, исследователь ESET.
Первый файл этого семейства вредоносных программ появился на VirusTotal в мае 2020 года, тогда как другие образцы загружались в течение года. Ни один из командных серверов из образцов, загруженных в VirusTotal, не был активным на момент написания материала. Это свидетельствует о том, что они могли быть отключены в связи с загрузкой. Расположение командного сервера и стран, из которых были загружены образцы в VirusTotal, могут свидетельствовать о том, что целью угрозы является Юго-Восточная Азия. Решения ESET обнаруживают все известные компоненты как Linux/FontOnLake.
Компании или отдельные пользователи, которые хотят защитить свои рабочие станции или серверы Linux от этой угрозы, должны применять мощные многоуровневые решения, а также актуальную версию дистрибутива Linux, поскольку некоторые из обнаруженных образцов вредоносного программного обеспечения были разработаны специально для CentOS и Debian.
