Posté le octobre 11, 2021 à 19:57
LES CHERCHEURS DÉTECTENT UN LOGICIEL MALVEILLANT SOURNOIS DE TYPE FONTON SUR LES SYSTÈMES LINUX
Des chercheurs ont identifié une famille de logiciels malveillants qui utilise des modules personnalisés et très sophistiqués pour cibler les systèmes Linux. Selon les chercheurs, cette famille de logiciels malveillants était auparavant inconnue et est désormais baptisée FontOnLake.
Selon les recherches d’ESET, cette famille de logiciels malveillants a été régulièrement développée pour offrir un accès à distance aux systèmes des utilisateurs. En outre, elle est utilisée pour hameçonner des informations d’identification et fonctionne comme un serveur proxy.
Un logiciel malveillant utilise un Rootkit pour cacher sa présence
Le rapport détaille le fonctionnement de ce logiciel malveillant lors de la collecte de données telles que les informations d’identification des utilisateurs. Il exécute des binaires légitimes altérés qui ont été configurés pour exécuter plus de fonctionnalités dans les systèmes. De plus, les acteurs malveillants ont ajouté un rootkit pour cacher l’existence de ce logiciel malveillant.
Les binaires utilisés par cette famille de logiciels malveillants sont similaires à ceux utilisés sur les systèmes Linux. Les chercheurs ont noté que ces binaires pourraient être utilisés pour alimenter d’autres attaques sur les systèmes. La conception sophistiquée de ce logiciel malveillant et les efforts déployés par les acteurs malveillants pour s’assurer qu’il n’est pas détecté dans les systèmes montrent qu’il pourrait être conçu pour mener des attaques ciblées.
Une analyse plus approfondie de ce logiciel malveillant montre que ses cibles sont principalement basées en Asie du Sud-Est. Le logiciel malveillant a été détecté pour la première fois en mai de l’année dernière sur VirusTotal. D’autres échantillons de ce logiciel malveillant ont ensuite été collectés tout au long de l’année. Les données de VirusTotal expliquant où ces échantillons ont été téléchargés et le serveur C&C montrent que son groupe cible se trouve dans la région de l’Asie du Sud-Est.
Une évaluation plus approfondie du fonctionnement du logiciel malveillant FontOnLake montre que les hackers qui se cachent derrière lui sont extrêmement prudents pour éviter d’être détectés. La grande majorité des échantillons exploitent les serveurs C&C avec différents ports non standard. En outre, tous les serveurs C&C utilisés dans les échantillons téléchargés étaient inactifs, ce qui montre qu’ils ont pu être désactivés après le téléchargement.
Les chercheurs d’ESET ont également découvert des applications trojanisées qui sont principalement utilisées pour lancer des modules backdoor ou rootkit personnalisés. Les hackers peuvent également utiliser ces applications pour collecter des informations sensibles sur les utilisateurs stockées dans leurs systèmes Linux.
Les patches des applications trojanisées montrent également une forte probabilité qu’elles aient été exécutées au niveau du code source, ce qui indique que ces applications ont pu être compilées et remplacées ultérieurement par les applications originales.
Une analyse des fichiers trojanisés a révélé qu’il s’agissait d’utilitaires Linux standard. De plus, chaque application offrait une méthode d’attaque persistante car elle est principalement chargée pendant le processus de démarrage.
Les chercheurs d’ESET continuent d’analyser ce logiciel malveillant pour obtenir plus de détails, notamment sur la manière dont les applications trojanisées ont été déployées sur l’appareil de la victime. L’analyse montre que l’application trojanisée utilise un fichier virtuel pour communiquer avec le rootkit. Un opérateur peut demander au fichier virtuel de recevoir ou d’envoyer des données, qui sont ensuite exportées vers le composant backdoor.
Le logiciel malveillant utilise trois portes dérobées différentes
Les chercheurs d’ESET ont également indiqué que trois portes dérobées différentes sont liées au logiciel malveillant. Les trois backdoors sont écrites en C++ et créent un pont vers le même C2 utilisé pour exporter les données. Ce qui est unique dans ce logiciel malveillant, c’est que les trois portes dérobées contiennent des modèles de conception logicielle sophistiqués. Outre l’exfiltration de données, les backdoors peuvent également recueillir des données d’identification.
Les trois backdoors ont également des fonctionnalités différentes, et le chevauchement pourrait signifier qu’elles ne peuvent pas être utilisées ensemble pour compromettre un seul système. Chacune des portes dérobées est également équipée d’une commande Heartbeat personnalisée, qui est envoyée et régulièrement reçue, maintenant ainsi la connexion active.
« Nous avons découvert deux versions marginalement différentes du rootkit, utilisées une seule à la fois, dans chacune des trois portes dérobées. Il existe des différences significatives entre ces deux rootkits. Cependant, certains de leurs aspects se chevauchent. Même si les versions du rootkit sont basées sur le projet open-source suterusu, elles contiennent plusieurs de leurs techniques personnalisées exclusives », indique la recherche.
Le logiciel malveillant FontOnLake est toujours interconnecté avec un rootkit en mode noyau, ce qui lui donne un mécanisme persistant pour affecter les systèmes Linux. D’autres sociétés de recherche en cybersécurité ont également détecté la famille de logiciels malveillants FontOnLake. Les recherches menées par la société de cybersécurité Avast montrent également que le rootkit du logiciel malveillant a été conçu à partir du projet open-source Suterusu.
D’autres chercheurs ont également publié des recherches qui pourraient indiquer un type de logiciel malveillant similaire, notamment Lacework Labs et Tencent. Les chercheurs d’ESET ont également publié un livre blanc technique qui examine le logiciel malveillant FontOnLake et sa conception.
Les chercheurs ont également déclaré que « les entreprises ou les particuliers qui souhaitent protéger leurs points de terminaison ou leurs serveurs Linux contre cette menace doivent utiliser un produit de sécurité multicouche et une version actualisée de leur distribution Linux ; certains des échantillons que nous avons analysés ont été créés spécifiquement pour CentOS et Debian. »