近日来自 ESET 的研究人员发现了一个恶意软件，该恶意软件一直在通过合规的 Linux 实用程序来感染 Linux 系统。该恶意软件被称为 FontOnLake，得益于该恶意软件的先进设计，以及不断升级新的功能，使其能够在受感染的系统上持续保持活跃状态。

FontOnLake 有多个模块，它们相互作用，并能与恶意软件的操作者进行通信来窃取敏感数据，并在系统中保持隐蔽。

ESET 的研究人员发现了多个上传到 VirusTotal 扫描服务的恶意软件样本，其中最早的样本出现在 2020 年 5 月。

ESET 的恶意软件分析师和反向工程师 Vladislav Hrčka 表示："为了收集数据或进行其他恶意活动，所有的木马程序都是合规的 Linux 实用程序，以加载进一步的组件。事实上，为了掩盖其存在，FontOnLake 的存在总是伴随着一个 rootkit，并且还可以作为一种持久性机制，因为它们通常在系统启动时执行。"

也就是说，这些木马程序很可能在源代码层面上被修改过，这表明攻击者对它们进行了编译并替换了原来的程序。除了携带恶意软件，这些修改后的实用程序的作用还包括加载额外的有效载荷、收集信息，以及执行其他恶意行为。

FontOnLake 的工具集包括三个组件，它们由合规的 Linux 实用程序的木马化版本组成、用于加载内核模式的 rootkit 和后门，所有这些都使用虚拟文件相互通信。基于 C++ 所编写的自定义后门被设计用来监视系统，在网络上秘密执行命令并渗出账户凭证。它们还使用自定义 heartbeat 命令来保持与控制服务器的连接。

目前还不知道攻击者如何获得网络的初始访问权，但研究人员指出，攻击者十分谨慎，通过依靠不同的、独特的命令和控制（C2）服务器与不同的非标准端口来避免留下任何痕迹。研究人员认为，FontOnLake 的作者精通网络安全，目前已停用了 VirusTotal 所观察到的所有 C2 服务器。