Zestawienie tygodniowe 4 – 11 października

Nowy malware dedykowany pod Linuxa- FontOnLake

W czwartek firma ESET zamieściła ciekawą informację. Nieznana wcześniej, modularna rodzina szkodliwego oprogramowania, dedykowana na systemy Linux, była wykorzystywana w atakach ukierunkowanych w celu gromadzenia danych uwierzytelniających i uzyskiwania dostępu do systemów ofiar. Nazwana została FontOnLake, wykorzystuje rootkita do ukrywania swojej obecności oraz różne serwery dowodzenia i kontroli dla każdej próbki, co pokazuje, jak ostrożni są jej operatorzy.

Co więcej, twórcy złośliwego oprogramowania stale modyfikują moduły FontOnLake i wykorzystują trzy kategorie komponentów, które zostały zaprojektowane do współpracy, a mianowicie aplikacje strojanizowane, backdoory i rootkity.

Dowody sugerują, że FontOnLake został wykorzystany w atakach wymierzonych w organizacje w Azji Południowo-Wschodniej.

Pierwsze próbki szkodliwego oprogramowania powiązane z tą rodziną pojawiły się w maju ubiegłego roku. Złośliwe oprogramowanie zostało wcześniej opisane przez Avast i Lacework jako rootkit HCRootkit / Sutersu Linux, a także przez Tencent Security Response Center w lutowym raporcie.

Różne strojanizowane aplikacje, które badacze ESET zidentyfikowali podczas dochodzenia, są wykorzystywane do ładowania niestandardowych modułów backdoora lub rootkitów, ale także do zbierania poufnych danych.

Analiza FontOnLake przeprowadzona przez ESET ujawniła użycie trzech różnych backdoorów, wszystkie napisane w C ++, wszystkie korzystające z tej samej biblioteki Asio z Boost i wszystkie są zdolne do eksfiltracji poświadczeń sshd i historii poleceń bash.

Zero day w Apache z problemami z łataniem

Projekt Apache HTTP Server w czwartek ogłosił wydanie kolejnej aktualizacji w odpowiedzi na niedawno odkrytą „lukę dnia zerowego” po ustaleniu, że początkowa poprawka była niekompletna.

Luka, śledzona jako CVE-2021-41773, może zostać wykorzystana do przemierzania ścieżki i zdalnego wykonywania kodu. Luka dotyczy serwera Apache HTTP Server 2.4.49 i została wykorzystana w atakach, dlatego ważne jest, aby organizacje jak najszybciej zainstalowały poprawki.

Apache HTTP Server 2.4.50 został początkowo wydany z poprawką CVE-2021-41773, ale poprawka nie była wystarczająca. Przypisano kolejny identyfikator CVE, CVE-2021-42013, a serwer HTTP Server 2.4.51 został wydany w czwartek, próbując dostarczyć pełniejszą łatkę.

Kiedy luka w zabezpieczeniach wyszła na światło dzienne, istniało około 112 000 potencjalnie podatnych na ataki serwerów z dostępem do Internetu, na których działała wersja HTTP Server 2.4.49, której dotyczy luka. W tej chwili liczba ta spadła do około 98 000, przy czym większość serwerów znajduje się w Ameryce Północnej i Europie Zachodniej. Według danych Shodan, liczba serwerów z wersją 2.4.50 wynosi obecnie 12 000, a tylko około 1600 zostało zaktualizowanych do wersji 2.4.51.