近期，网络安全研究人员详细介绍了一项可能针对东南亚实体的新型攻击活动，该活动可能使用以前无法识别的Linux恶意软件，除了收集凭据和充当代理服务器外，还可以远程访问其运营商。

斯洛伐克网络安全公司 ESET称这类恶意软件为“FontOnLake”，拥有精心设计且不断升级的模块，表明正处在开发的活跃阶段。上传到VirusTotal的样本表明，利用这种威胁的第一次入侵可能在2020年5月就已经发生。

ESET研究员Vladislav Hrčka表示：FontOnLake具有隐蔽性，加上先进的设计和低流行率，目前被用于有针对性的攻击。为了收集数据或进行其他恶意活动，这类恶意软件使用修改后的合法二进制文件，这些文件经过调整以加载更多组件。此外，为了隐藏自身的存在，FontOnLak总是伴随着一个 rootkit。这些二进制文件通常在Linux系统上使用，并且还可以作为一种持久性机制。

FontOnLake的工具集包括三个组件，它们由合法 Linux 实用程序的木马化版本组成，用于加载内核模式的rootkits和用户模式的后门，所有这些都使用虚拟文件相互通信。基于C++的植入程序本身旨在监控系统、在网络上秘密执行命令以及泄露帐户凭据。

该后门的第二个变体还具有充当代理、操作文件、下载任意文件的功能，而第三个变体除了结合其他两个后门的功能外，还可以执行Python脚本和shell命令。

ESET表示发现了两个不同版本的Linux rootkit，它们基于一个名为Suterusu的开源项目，在功能上有重叠之处，除了能隐藏自身外，还包括隐藏进程、文件、网络连接，同时还能够执行文件操作，提取并执行用户模式的后门。

目前尚不清楚攻击者如何获得对网络的初始访问权限，但网络安全公司指出，攻击者非常谨慎，通过依赖不同且独特的命令和控制 (C2) ，避免在具有不同非标准端口的服务器上留下任何痕迹，以至于在VirusTotal工件中观察到的所有 C2 服务器都不再处于活动状态。

“它们的规模和先进的设计表明作者精通网络安全，这些工具可能会在未来的活动中重复使用，”Hrčka说。“由于大多数功能旨在隐藏其存在、中继通信和提供后门访问，我们认为这些工具主要为其它恶意攻击提供服务支撑。”

参考来源：https://thehackernews.com/2021/10/researchers-warn-of-fontonlake-rootkit.html

鸿蒙官方战略合作共建――HarmonyOS技术社区