スロバキアのセキュリティ企業ESET社のアナリストによると、Linuxシステムを標的とした新しいマルウェアが発見され、証拠からいくつかの標的型攻撃に使用されたと考えられると発表しました
https://www.welivesecurity.com/wp-content/uploads/2021/10/eset_fontonlake.pdf
このマルウェアは「FontOnLake」と名付けられており、攻撃者はこのツールを攻撃に使用する際に「特に慎重」であったとしています。
ESETのマルウェアアナリストであるVladislav Hrčka氏は、
FontOnLakeは、デザイン性の高いカスタムモジュールを利用したマルウェアファミリーであり、常に開発が行われています。
Linuxを実行しているシステムを標的とし、そのシステムへのリモートアクセスを攻撃者に提供し、認証情報を収集し、プロキシサーバーとして機能します。
これらのツールは、その卑劣な性質と高度な設計により、標的型攻撃に使用されることが示唆されています。
C&Cサーバの場所やVirusTotalにサンプルがアップロードされた国から、このツールの運営者が少なくとも東南アジアをターゲットにしていることがわかります。
サーバを使用していることから、その運営者は過剰に警戒していると考えられます。
作者は、主にC/C++と、Boost、Poco、Protobなどの様々なサードパーティのライブラリを使用しています。
Boost、Poco、Protobufなどのサードパーティ製ライブラリを使用しています。
VirusTotalにアップロードされたサンプルで使用されているC&Cサーバは、執筆時点ではいずれも稼働していませんでした。
アップロードにより無効化された可能性があります。
我々はネットワークプロトコルの初期通信を模倣したインターネット全体のスキャンを複数回実施しました。
C&Cサーバと被害者を特定するために、観測された非標準のポートをターゲットとして、ネットワークプロトコルの初期通信を模倣したインターネット全体のスキャンを複数回実施しました。その結果C&Cサーバーは、カスタムハートビートコマンドで接続を維持しているだけで
コマンドで接続を維持するだけで、明示的な要求に応じて更新情報を提供することはありませんでした。FontOnLakeは、2020年5月にVirusTotalに最初のファイルが掲載された後、1年を通して他のサンプルがアップロードされました。
このホワイトペーパーを完成させている間に我々が発見した後、Tencent Security Response Center、Avast、Lacework Labsなどのベンダーが、同じマルウェアと思われるものに関する研究結果を発表しました。
すべてのコマンド&コントロール(C&C)サーバがダウンしており、少数のターゲットを狙い、目的が達成されたらオペレーターがインフラをダウンさせるという典型的な攻撃のようです。
しかし、FontOnLakeマルウェアのより詳細な技術的分析は、ESET社が発表したPDFレポートに掲載されており、その結果の要約も以下に掲載されています。
- FontOnLakeの主な役割は、ハッキングされたシステムへのリモートアクセスを提供することである
- モジュール式アーキテクチャを中心に構築されている
- モジュールはカスタムメイドであり、よく設計されたマルウェアである
- モジュールはアップグレードされており、作成者がマルウェアを積極的にメンテナンスしていることを意味している
- モジュールの1つはRootkitコンポーネントであり、マルウェアはこれを使ってリブートの持続性を獲得し、感染したシステムを完全に制御する
- その他のモジュールは、一般的なLinuxバイナリをトロイの木馬化したもので、ハッキングされたシステム上に配置され、ローカルの認証情報やその他の機密情報を収集、流出させる
- その他のモジュールは、感染したシステムへのアクセスを容易にするためのバックドアシステムとして使用され、コマンドの実行、ローカルファイルの操作、マルウェア自体の制御を行うものである
- ファイアウォールやその他のセキュリティシステムを回避するために、FontOnLakeは感染したホストをプロキシサーバーに変えることもできる
Comments