FontOnLake: убойный коктейль из бэкдора с руткитом для Linux

Татьяна Никитина 08 Октября 2021 - 15:31

Домашние пользователи

...

Эксперты ESET предупреждают о растущей угрозе со стороны модульных Linux-зловредов, объединенных в семейство с кодовым именем FontOnLake. Набор вредоносных инструментов, включающий бэкдор и руткит режима ядра, находится в стадии активной разработки; создатели часто его апгрейдят, добавляя новые функции.

Судя по датам загрузки образцов FontOnLake на VirusTotal, этот профессионально исполненный тулкит впервые пустили в ход в мае этого года. Местоположение авторов находок и прописка C2-серверов вредоноса говорят о том, что круг интересов злоумышленников пока ограничен Юго-Восточной Азией.

Операторы FontOnLake (в Avast и Lacework Labs его идентифицируют как HCRootkit) прилагают все усилия, чтобы скрыть вредоносную активность. Атаки проводятся точечно; для загрузки основных модулей используются модификации стандартных утилит Linux. Каждой версии тулкита назначается свой командный сервер, в случае обнаружения его быстро заменяют; выбор портов для подключения к С2 необычен.

Выявленные компоненты FontOnLake исследователи разделили на три группы:

троянизированные приложения — легитимные бинарные коды, адаптированные под загрузку основных модулей зловреда, сбор данных и выполнение других вредоносных действий;
бэкдоры — написанные на C++ компоненты режима пользователя, обеспечивающие связь с оператором; могут также создавать, модифицировать и удалять файлы, работать как прокси, выполнять шелл-команды и Python-скрипты;
руткиты — основанные на opensource-проекте Suterusu компоненты режима ядра, обеспечивающие маскировку и постоянное присутствие в системе; могут также выполнять проброс портов и загружать обновления или резервные бэкдоры.

Все перечисленные компоненты взаимодействуют друг с другом через виртуальный файл, создаваемый руткитом. Чтение и запись в этот файл осуществляются по команде с C2-сервера.

Способ доставки FontOnLake на Linux-сервер установить не удалось. Конечная цель злоумышленников тоже пока неизвестна. С полнотекстовой версией отчета ESET можно ознакомиться на сайте компании (PDF).

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 06 Ноября 2025 - 18:42

Мошенничество Онлайн-мошенничество Соответствие законодательству РФ Домашние пользователи Государство

Разбойники украли у подростка 60 тыс. рублей через Telegram

Гастролировавшее в Москве криминальное трио обманом выманило у 16-летней жертвы цифровые открытки Telegram на сумму 60 тыс. руб. и попыталось отнять криптовалюту. Подозреваемые задержаны и вскоре, вероятно, предстанут перед судом.

Следствием установлено, что 3 ноября трое молодых людей предложили юному жителю столицы совместно снять видеоролик и с этой целью встретиться у выхода из метро «Пушкинская».

В ходе встречи его пригласили в автомобиль и, угрожая пистолетом, потребовали выдать цифровые открытки из мессенджера.

Забрав у жертвы мобильник, злоумышленники перевели на свой аккаунт виртуальные активы на общую сумму 60 тыс. рублей. Их внимание также привлекло криптовалютное приложение; подросток не растерялся и соврал, что в кошельке скопилось более 9 млн рублей.

В итоге его отправили домой для совершения перевода. Вместо этого находчивый юнец вызвал полицию.

Уголовное дело возбуждено по признакам совершения преступлений, предусмотренных ч. 2 ст. 162 УК РФ (разбой в составе ОПГ, до 10 лет лишения свободы) и п. «б» ч. 3 ст. 163 УК РФ (вымогательство с целью получения имущества в особо крупном размере, до 15 лет лишения свободы).

Фигуранты идентифицированы как молодые люди 2003, 2007 и 2010 годов рождения. Их удалось задержать на территории Калужской области; для проведения следственных действий все переправлены в столицу.

FontOnLake: убойный коктейль из бэкдора с руткитом для Linux

Читайте также