FontOnLake: убойный коктейль из бэкдора с руткитом для Linux

FontOnLake: убойный коктейль из бэкдора с руткитом для Linux

FontOnLake: убойный коктейль из бэкдора с руткитом для Linux

Эксперты ESET предупреждают о растущей угрозе со стороны модульных Linux-зловредов, объединенных в семейство с кодовым именем FontOnLake. Набор вредоносных инструментов, включающий бэкдор и руткит режима ядра, находится в стадии активной разработки; создатели часто его апгрейдят, добавляя новые функции.

Судя по датам загрузки образцов FontOnLake на VirusTotal, этот профессионально исполненный тулкит впервые пустили в ход в мае этого года. Местоположение авторов находок и прописка C2-серверов вредоноса говорят о том, что круг интересов злоумышленников пока ограничен Юго-Восточной Азией.

Операторы FontOnLake (в Avast и Lacework Labs его идентифицируют как HCRootkit) прилагают все усилия, чтобы скрыть вредоносную активность. Атаки проводятся точечно; для загрузки основных модулей используются модификации стандартных утилит Linux. Каждой версии тулкита назначается свой командный сервер, в случае обнаружения его быстро заменяют; выбор портов для подключения к С2 необычен.

Выявленные компоненты FontOnLake исследователи разделили на три группы:

  • троянизированные приложения — легитимные бинарные коды, адаптированные под загрузку основных модулей зловреда, сбор данных и выполнение других вредоносных действий;
  • бэкдоры — написанные на C++ компоненты режима пользователя, обеспечивающие связь с оператором; могут также создавать, модифицировать и удалять файлы, работать как прокси, выполнять шелл-команды и Python-скрипты;
  • руткиты — основанные на opensource-проекте Suterusu компоненты режима ядра, обеспечивающие маскировку и постоянное присутствие в системе; могут также выполнять проброс портов и загружать обновления или резервные бэкдоры.  

Все перечисленные компоненты взаимодействуют друг с другом через виртуальный файл, создаваемый руткитом. Чтение и запись в этот файл осуществляются по команде с C2-сервера.

 

Способ доставки FontOnLake на Linux-сервер установить не удалось. Конечная цель злоумышленников тоже пока неизвестна. С полнотекстовой версией отчета ESET можно ознакомиться на сайте компании (PDF).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Большая часть россиян хотят использовать средства родительского контроля

Согласно опросу, проведённому банком ВТБ в преддверии Международного дня защиты детей, который отмечается 1 июня, 86% респондентов считают необходимым использовать цифровые инструменты для защиты детей от нежелательного контента.

Исследование проводилось в мае 2025 года среди 1500 родителей из городов с населением от 100 тысяч человек и выше.

Судя по результатам опроса, более четверти (27%) участников доверяют уже существующим на рынке инструментам родительского контроля, а 30% используют такие технологии от случая к случаю. Почти столько же — 29% — хотели бы применять цифровые средства защиты, но пока не нашли подходящего решения.

Лишь 14% опрошенных считают, что ответственность за контроль доступа детей к информации должна полностью лежать на родителях. При этом в отдельных регионах этот подход получил более широкую поддержку: так, в Санкт-Петербурге и Ленинградской области его разделяют 22% респондентов, а на Дальнем Востоке — 24%.

Кроме ограничительных функций, пользователи заинтересованы и в расширении возможностей цифровых помощников. 88% респондентов хотят, чтобы такие технологии стали не только фильтрами, но и собеседниками для детей, источниками познавательной информации. В роли воспитателя или репетитора цифровых ассистентов готовы использовать 79% участников опроса.

«Цифровые помощники и ассистенты, способные решать за пользователя широкий круг задач — от поиска до анализа больших объёмов информации — находят всё более широкое применение по всему миру. Мы в ВТБ активно развиваем это направление, видим в нём огромный потенциал для повышения качества и персонализации услуг. Уверен, что в ближайшие годы такие технологии станут неотъемлемой частью жизни клиентов, позволяя принимать быстрые и точные решения в реальном времени. Эти и другие актуальные вопросы мы обсудим на конференции ЦИПР, которая стартует 2 июня в Нижнем Новгороде. Там мы совместно определим будущее цифровых сервисов в финансовой сфере», — прокомментировал Максим Коновалихин, старший вице-президент ВТБ, руководитель департамента анализа данных и моделирования.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru