Researchers Warn of FontOnLake Rootkit Malware Targeting Linux Systems
사이버 보안 연구원들이 크리덴셜을 수집하고 프록시 서버의 기능을 수행하는 것 이외에도 운영자가 원격으로 접근할 수 있도록 설계된 새로운 리눅스 악성코드를 통해 동남아시아의 기업을 노리는 새로운 캠페인을 발견했습니다.
사이버 보안 회사인 ESET에서 "FontOnLake"라 명명한 이 악성 프로그램은 "잘 설계된 모듈"이 특징이며, 광범위한 기능이 지속적으로 업데이트되어 활발한 개발 단계임을 보여줍니다.
VirusTotal에 업데이트된 샘플로 미루어볼 때 이 공격은 최소 2020년 5월 시작되었을 가능성이 있습니다. Avast와 Lacework Labs는 동일한 악성코드를 HCRootkit이라 명명했습니다.
ESET 연구원인 Vladislav Hrčka는 이와 관련하여 아래와 같이 밝혔습니다.
"FontOnLake 툴의 교활한 특성과 급 높은 설계, 낮은 보급률로 미루어볼 때 이는 타깃 공격에 사용됨을 알 수 있습니다. 데이터를 수집하거나 기타 악의적 행동을 위해 이 악성코드 패밀리는 추가 컴포넌트를 로드하도록 수정된 합법적인 바이너리를 사용합니다. 실제로 FontOnLake는 자신의 존재를 숨기기 위해 항상 루트킷을 동반합니다. 이러한 바이너리는 일반적으로 리눅스 시스템에서 사용되며 지속성 메커니즘의 역할을 수행하는 것도 가능합니다.”
FontOnLake의 툴셋에는 가상 파일을 통해 서로 통신하는 커널 모드 루트킷과 사용자 모드 백도어를 로드하는 데 사용되는 합법적인 리눅스 유틸리티의 트로이목마화된 버전으로 구성된 세 가지 컴포넌트가 포함되어 있습니다.
이 C++ 기반 임플란트 시스템을 모니터링하고, 은밀히 네트워크에서 명령을 실행하고, 계정 크리덴셜을 유출하도록 설계되었습니다.
백도어의 두 번째 변종은 프록시 역할을 하고, 파일을 조작하고, 임의의 파일을 다운로드할 수 있는 기능과 함께 제공되며 세 번째 변종은 다른 두 백도어의 기능 이외에도 파이썬 스크립트 및 셸 명령을 실행할 수 있는 기능을 갖추고 있습니다.
ESET은 오픈소스 프로젝트인 Suterusu를 기반으로 하는 다른 버전의 리눅스 루트킷 2가지를 발견했으며, 이는 프로세스, 파일, 네트워크 연결, 자기 자신을 숨기는 기능을 포함 유사한 기능 다수와 작전을 수행하고 사용자모드 백도어를 추출 및 실행할 수 있습니다.
현재 공격자가 네트워크에 대한 초기 접근 권한을 어떻게 얻어내는지는 알 수 없지만, 연구원들은 공격자가 다양한 비표준 포트가 있는 서버와 서로 다른 고유한 C2를 사용하여 흔적을 남기지 않도록 하기 위해 "지나치게 조심스럽게 행동한다"고 밝혔습니다. VirusTotal 아티팩트에서 발견된 모든 C2 서버는 더 이상 활성화되지 않았습니다.
현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플에 대해 ’Trojan.Linux.Agent’으로 탐지 중입니다.
출처:
https://thehackernews.com/2021/10/researchers-warn-of-fontonlake-rootkit.html
https://www.welivesecurity.com/wp-content/uploads/2021/10/eset_fontonlake.pdf
https://twitter.com/AvastThreatLabs/status/1430527767855058949
https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis/
Adobe, 자사 제품의 취약점 10개 해결 (0) | 2021.10.13 |
---|---|
중국 해커, 윈도우 제로데이 통해 방위산업체 및 IT 회사 공격 (0) | 2021.10.13 |
애플, 긴급 Apple iOS 15.0.2 업데이트로 제로데이 취약점 수정 (0) | 2021.10.12 |
화웨이 클라우드 노리는 업데이트된 크립토마이너 발견 (0) | 2021.10.12 |
Yamale 파이썬 패키지에 영향을 미치는 코드 실행 취약점 발견 (0) | 2021.10.08 |
댓글 영역