一种以前未被发现的恶意软件品牌正被用于针对 #Linux 系统的攻击 ——
据网络安全公司 ESET 的研究人员称,这种名为 FontOnLake 的恶意软件似乎是精心设计的,虽然正在积极开发,但已经包括远程访问选项、凭证盗窃功能,并能够初始化代理服务器。
FontOnLake 样本于2020年5月首次出现在 VirusTotal 上,但与这些文件相连的命令和控制(C2)服务器被禁用,研究人员说这可能是由于上传的原因。
研究人员指出,该恶意软件所针对的 Linux 系统可能位于包括东南亚在内的地区。
ESET认为,操作者对被抓住和他们的活动暴露 “过于谨慎”,因为几乎所有获得的样本都使用不同的C2服务器地址和各种端口。此外,该恶意软件的作者利用了C/C++和一些第三方库,如 Boost 和 Protobuf。
FontOnLake 是模块化的恶意软件,利用自定义二进制文件来感染目标机器并执行恶意代码。虽然ESET仍在调查FontOnLake,但该公司表示,在其已知的组件中,有被用来加载后门、rootkits和收集信息的木马应用程序。
总共有三个后门也与 FontOnLake 有关。这些后门都是用C++编写的,并创建了一个通往同一C2的桥梁,用于数据外流。此外,它们能够发出 “心跳” 命令,以保持这种连接的活性。
FontOnLake 总是与一个内核模式的 rootkit 一起,在受感染的 Linux 机器上保持持久性。据 Avast 称,该 rootkit 是基于开源的 Suterusu 项目。
以下是ESET发布的技术白皮书,研究 FontOnLake。
#ThreatIntelligence #malware
据网络安全公司 ESET 的研究人员称,这种名为 FontOnLake 的恶意软件似乎是精心设计的,虽然正在积极开发,但已经包括远程访问选项、凭证盗窃功能,并能够初始化代理服务器。
FontOnLake 样本于2020年5月首次出现在 VirusTotal 上,但与这些文件相连的命令和控制(C2)服务器被禁用,研究人员说这可能是由于上传的原因。
研究人员指出,该恶意软件所针对的 Linux 系统可能位于包括东南亚在内的地区。
ESET认为,操作者对被抓住和他们的活动暴露 “过于谨慎”,因为几乎所有获得的样本都使用不同的C2服务器地址和各种端口。此外,该恶意软件的作者利用了C/C++和一些第三方库,如 Boost 和 Protobuf。
FontOnLake 是模块化的恶意软件,利用自定义二进制文件来感染目标机器并执行恶意代码。虽然ESET仍在调查FontOnLake,但该公司表示,在其已知的组件中,有被用来加载后门、rootkits和收集信息的木马应用程序。
总共有三个后门也与 FontOnLake 有关。这些后门都是用C++编写的,并创建了一个通往同一C2的桥梁,用于数据外流。此外,它们能够发出 “心跳” 命令,以保持这种连接的活性。
FontOnLake 总是与一个内核模式的 rootkit 一起,在受感染的 Linux 机器上保持持久性。据 Avast 称,该 rootkit 是基于开源的 Suterusu 项目。
以下是ESET发布的技术白皮书,研究 FontOnLake。
#ThreatIntelligence #malware
总部设在德里的印度智库 “观察者研究基金会"(ORF)最近发表论文主张对“网络雇佣军”采取国际应对措施。此类雇佣军的例子包括臭名昭著的朝鲜APT组织 Lazarus 和以色列间谍软件公司 NSO Group 等。
该报告指出此类组织都应被视为网络安全雇佣军。报告引用《日内瓦公约》对雇佣军的定义,即 “出于金钱或物质利益的动机,愿意为委托国而战的行为者”。在当今世界,这意味着利用信息技术和网络开展网络行动。
报告举例说,Lazarus组织代表朝鲜政府开发和分发恶意软件,以色列的NSO集团向许多国家政府出售其Pegasus间谍软件,尽管该软件不合法且颇具争议。
报告写道,数字化转型具有优势,但也带来了复杂的问题,特别是在网络空间作为战略竞争的战场上的安全性问题。原因是多方面的,包括美国和中国之间日益激烈的政治、战略和经济竞争;不断酝酿的边界争端,如俄乌战争、台海危机威胁、克什米尔冲突、南中国海争端等;以及寻求通过任何可能的手段维护其统治的专制政府。这些紧张局势往往被投射到数字空间,并被犯罪集团或公司利用以谋取私利。
报告强调,网络雇佣军的市场正在不断扩大,因为他们可以让国家增强进攻能力,同时保持 “通过不承认而进行合理推诿”。
报告还指出,使用网络雇佣军具有成本效益:他们不需要人力资源部门、培训和其他人事费用。无法维持本国黑客部队的国家可以雇用网络雇佣兵来实现其目标。2019年网络雇佣兵市场规模突破120亿美元大关 。在没有对此事施加限制的国际公约的情况下,预计该业务只会增长。
报告呼吁立法将情报和数字工具的使用与人权责任结合起来。并强调有必要制定标准,规定任何人为所谓的“国家安全利益”采取的行动都必须尊重这些权利。
以NSO集团的情况为例,欧盟委员会决定不干涉欧盟成员国使用被归类为 “国家安全" 工具的飞马/Pegasus 间谍软件。然而,这种软件却被用来监视甚至迫害记者、商人、活动家、学者和其他并没有所谓的安全威胁的人,仅仅是因为这些人让当权者不高兴了。
报告最后呼吁公民更多通过媒体和民间社会组织,要求政府和企业对其应用和营销任何技术产品和服务的活动负责。这是为了保护公民的经济和政治权利,包括隐私权和言论自由权。现有的技术协议、行业原则和民间社会法律程序为网络空间的负责任行为提供了基准。希望这些活动能够引发政府、企业和民间社会之间的多方利益相关者讨论、呼吁采取行动解决网络雇佣军问题,包括禁止其存在。
🧬如果您错过了:
2019《一个新的战争时代:互联网雇佣军如何为威权政府而战》
2019《雄厚的财力,深藏不露》
2020《如何在网上兜售谎言? - - 他们承诺可以”按照你的意愿改变任何现实”》
2020《数字焚书和网络维稳:149个国家/地区的互联网监视审查地图》
2020《数字连接已将”社会工厂”变成了全球战场》
2021《这就是他们给我讲述世界末日的方式》
2021《如何保护自己免受蔓延全世界的最强大的以色列间谍软件 Pegasus 的攻击》
#cyberwar #cybermercenaries #geopolitics #cyberattacks #malware #0Day
该报告指出此类组织都应被视为网络安全雇佣军。报告引用《日内瓦公约》对雇佣军的定义,即 “出于金钱或物质利益的动机,愿意为委托国而战的行为者”。在当今世界,这意味着利用信息技术和网络开展网络行动。
报告举例说,Lazarus组织代表朝鲜政府开发和分发恶意软件,以色列的NSO集团向许多国家政府出售其Pegasus间谍软件,尽管该软件不合法且颇具争议。
报告写道,数字化转型具有优势,但也带来了复杂的问题,特别是在网络空间作为战略竞争的战场上的安全性问题。原因是多方面的,包括美国和中国之间日益激烈的政治、战略和经济竞争;不断酝酿的边界争端,如俄乌战争、台海危机威胁、克什米尔冲突、南中国海争端等;以及寻求通过任何可能的手段维护其统治的专制政府。这些紧张局势往往被投射到数字空间,并被犯罪集团或公司利用以谋取私利。
报告强调,网络雇佣军的市场正在不断扩大,因为他们可以让国家增强进攻能力,同时保持 “通过不承认而进行合理推诿”。
报告还指出,使用网络雇佣军具有成本效益:他们不需要人力资源部门、培训和其他人事费用。无法维持本国黑客部队的国家可以雇用网络雇佣兵来实现其目标。2019年网络雇佣兵市场规模突破120亿美元大关 。在没有对此事施加限制的国际公约的情况下,预计该业务只会增长。
报告呼吁立法将情报和数字工具的使用与人权责任结合起来。并强调有必要制定标准,规定任何人为所谓的“国家安全利益”采取的行动都必须尊重这些权利。
以NSO集团的情况为例,欧盟委员会决定不干涉欧盟成员国使用被归类为 “国家安全" 工具的飞马/Pegasus 间谍软件。然而,这种软件却被用来监视甚至迫害记者、商人、活动家、学者和其他并没有所谓的安全威胁的人,仅仅是因为这些人让当权者不高兴了。
报告最后呼吁公民更多通过媒体和民间社会组织,要求政府和企业对其应用和营销任何技术产品和服务的活动负责。这是为了保护公民的经济和政治权利,包括隐私权和言论自由权。现有的技术协议、行业原则和民间社会法律程序为网络空间的负责任行为提供了基准。希望这些活动能够引发政府、企业和民间社会之间的多方利益相关者讨论、呼吁采取行动解决网络雇佣军问题,包括禁止其存在。
🧬如果您错过了:
2019《一个新的战争时代:互联网雇佣军如何为威权政府而战》
2019《雄厚的财力,深藏不露》
2020《如何在网上兜售谎言? - - 他们承诺可以”按照你的意愿改变任何现实”》
2020《数字焚书和网络维稳:149个国家/地区的互联网监视审查地图》
2020《数字连接已将”社会工厂”变成了全球战场》
2021《这就是他们给我讲述世界末日的方式》
2021《如何保护自己免受蔓延全世界的最强大的以色列间谍软件 Pegasus 的攻击》
#cyberwar #cybermercenaries #geopolitics #cyberattacks #malware #0Day