Los investigadores de seguridad cibernética han descrito en detalle la nueva campaña, que probablemente se dirija a entidades del sudeste asiático con malware de Linux previamente no reconocido que está diseñado para permitir el acceso remoto a sus operadores además de recopilar credenciales y actuar como un servidor proxy.
Familia de malware, apodada «FuenteEnLagoLa compañía eslovaca de ciberseguridad de ESET afirma que contiene «módulos bien diseñados» que se actualizan constantemente con una amplia gama de capacidades, lo que indica una fase de desarrollo activa que ocurrió en mayo de 2020.
Avast y Lacework Labs monitorean el mismo malware bajo el sobrenombre de HCRootkit.
«La naturaleza insidiosa de las herramientas de FontOnLake, combinada con un diseño avanzado y una baja prevalencia, sugiere que se utilizan en ataques dirigidos», dijo el investigador de ESET Vladislav Hrčka. “Para recopilar datos o realizar otras actividades maliciosas, esta familia de malware utiliza binarios legítimos modificados que se modifican para cargar otros componentes. De hecho, la presencia de FontOnLake siempre va acompañada de un rootkit. Estos binarios se usan comúnmente en los sistemas Linux. como un mecanismo de persistencia.”
El kit de herramientas de FontOnLake contiene tres componentes que consisten en versiones troyanizadas de herramientas legítimas de Linux que se utilizan para cargar rootkits en modo kernel y puertas traseras en modo usuario, todos los cuales se comunican entre sí mediante archivos virtuales. Los propios implantes basados en C ++ están diseñados para monitorear sistemas, ejecutar comandos en secreto en redes y filtrar credenciales de cuentas.
La segunda permutación de puerta trasera también viene con la capacidad de actuar como proxy, manipular archivos, descargar archivos arbitrarios, mientras que la tercera variante, además de incorporar funciones de las otras dos puertas traseras, está equipada para ejecutar scripts de Python y comandos de shell.
ESET dijo que encontró dos versiones diferentes del rootkit de Linux, que se basa en un proyecto de código abierto llamado Suterus y comparte características superpuestas, que incluyen ocultar procesos, archivos, conexiones de red y a sí mismo, al mismo tiempo que puede realizar operaciones de archivos y extraer e inicie el modo de usuario de la puerta trasera.
Actualmente no se sabe cómo obtendrán los atacantes el acceso inicial a la red, pero la compañía de seguridad cibernética ha señalado que el actor detrás del ataque es «demasiado cuidadoso» para no dejar rastro al confiar en diferentes comandos y controles únicos (C2). . servidores con varios puertos no estándar. Todos los servidores C2 observados en los artefactos de VirusTotal ya no están activos.
«Su alcance y diseño avanzado sugieren que los autores conocen bien la seguridad cibernética y que estas herramientas se pueden reutilizar en campañas futuras», dijo Hrčka. «Debido a que la mayoría de las funciones están diseñadas para ocultar su presencia, pasar el tráfico y proporcionar acceso de puerta trasera, creemos que estas herramientas se utilizan principalmente para mantener la infraestructura que sirve para otros propósitos maliciosos desconocidos».
