Dòng phần mềm độc hại được công ty an ninh mạng ESET của Slovakia đặt tên là "FontOnLake", được cho là có "các mô-đun có thiết kế tốt", liên tục được nâng cấp với nhiều ứng dụng mới. Các mẫu được tải lên VirusTotal chỉ ra khả năng rằng những cuộc xâm nhập đầu tiên sử dụng dòng phần mềm độc hại này đã bắt đầu xảy ra từ đầu tháng 5 năm 2020.

Avast và Lacework Labs đang theo dõi cùng một phần mềm độc hại dưới biệt danh HCRootkit.

"Bản chất lén lút của các phần mềm dòng FontOnLake kết hợp với thiết kế tiên tiến và mức độ phổ biến thấp cho thấy chúng được sử dụng trong các cuộc tấn công có chủ đích", nhà nghiên cứu Vladislav Hrčka của ESET cho biết. "Để thu thập dữ liệu hoặc tiến hành các hoạt động nguy hại, dòng phần mềm độc hại này sử dụng các mã nhị phân hợp pháp đã sửa đổi được điều chỉnh để tải các thành phần khác. Trên thực tế, để che giấu sự tồn tại của mình, FontOnLake luôn đi kèm với rootkit. Các mã nhị phân này thường được sử dụng trên các hệ thống Linux và cũng có thể đóng vai trò như một cơ chế bình thường của hệ thống. "

Bộ công cụ của FontOnLake bao gồm ba thành phần, trong đó các phiên bản đã được trojanized (trojan hóa) với các tiện ích Linux hợp pháp được sử dụng để tải các rootkit chế độ nhân (kernel) và cài các cửa hậu (backdoor) ở chế độ người dùng, tất cả đều giao tiếp với nhau bằng các tệp ảo. Bản thân các thiết bị cấy ghép dựa trên C ++ được thiết kế để giám sát hệ thống, bí mật thực thi các lệnh trên mạng và thu thập thông tin đăng nhập tài khoản.

Ngoài ra backdoor cũng đi kèm với khả năng khiến phần mềm độc hại có thể hoạt động như một proxy, thao tác với các tệp, tải xuống các tệp tùy ý. Biến thể cao cấp tiếp theo của dòng dòng phần mềm độc hại này, bên cạnh việc kết hợp các tính năng từ backdoor như trên còn được trang bị để thực thi các tập lệnh Python và lệnh shell.

ESET cho biết họ đã tìm thấy hai phiên bản khác nhau của bộ rootkit Linux dựa trên một dự án mã nguồn mở có tên là Suterusu qua đó lý giải một vài tính năng bao gồm ẩn các quy trình, tệp, kết nối mạng và chính nó, đồng thời có thể thực hiện các hoạt động tệp, giải nén và cài backdoor chế độ người dùng.

Hiện tại ESET vẫn chưa biết làm thế nào mà những kẻ tấn công có được quyền truy cập ban đầu vào mạng hệ thống, nhưng công ty an ninh mạng này lưu ý rằng tác nhân đe dọa đằng sau các cuộc tấn công là "quá thận trọng", khi hệ thống mạng cố tránh bị theo dõi bằng cách dựa vào các lệnh phức tạp khác nhau và kiểm soát server (C2) bằng nhiều cổng không phổ biến.

Hrčka nói: “Quy mô và thiết kế tiên tiến của dòng phần mềm độc hại FontOnLake cho thấy rằng các tác giả rất thành thạo về an ninh mạng và những công cụ này có thể được sử dụng lại trong các chiến dịch trong tương lai. "Vì hầu hết các tính năng được thiết kế chỉ để che giấu sự hiện diện của phần mềm, chuyển tiếp giao tiếp và cung cấp quyền truy cập backdoor, chúng tôi tin rằng dòng phần mềm này được sử dụng chủ yếu để duy trì cơ sở hạ tầng phục vụ một số mục đích nguy hại khác, chưa thể xác định."

Nguồn tin:  Cục CNTT