Terkejut! Serangan botnet berterusan yang mengeksploitasi kelemahan Linux terkini

Kempen anti-perisian hasad yang berterusan telah didapati mengeksploitasi kelemahan yang didedahkan baru-baru ini dalam peranti Storan Terpasang Rangkaian (NAS) yang dijalankan pada sistem Linux untuk menggabungkan mesin ini ke dalam botnet IRC untuk melancarkan serangan penolakan perkhidmatan (DDoS) yang diedarkan dan melombong mata wang kripto Monero . .

Serangan itu memperkenalkan varian baharu perisian hasad yang dipanggil “Terkejut” dengan mengeksploitasi pepijat kritikal yang telah diperbaiki dalam Projek Laminas (dahulunya Zend Framework) dan Portal Liferay, serta kelemahan keselamatan yang tidak ditambal dalam TerraMaster, menurut analisis Penyelidikan Check Point baharu yang diterbitkan hari ini dan dikongsi dengan The Hacker News.

Para penyelidik mengaitkan perisian hasad itu kepada penggodam jenayah siber lama — yang telah menggunakan nama Fl0urite dan Freak di HackForums dan Pastebin sejak sekurang-kurangnya 2015 — dan berkata pepijat itu — CVE-2020-28188, CVE-2021-3007, dan CVE -2020 -7961 — dilengkapi dengan senjata untuk menyuntik dan melaksanakan arahan berniat jahat pada pelayan.

Terlepas dari kelemahan yang dieksploitasi, matlamat utama penyerang adalah untuk memuat turun dan melaksanakan skrip Python yang dipanggil “out.py” menggunakan bahasa Python. 2yang tamat tahun lepas, menunjukkan bahawa pelakon ancaman itu bergantung pada kemungkinan bahawa peranti mangsa memasang versi lapuk ini.

Perisian hasad dimuat turun daripada hxxp://gxbrowser[.]net, ialah skrip Python yang dikaburkan yang mengandungi kod polimorfik, dengan kekaburan berubah setiap kali skrip itu dimuat turun,” kata penyelidik sambil menambah bahawa serangan pertama untuk memuat turun fail itu dilaporkan pada Januari. 8.

Dan sememangnya, tiga hari kemudian, firma keselamatan siber F5 Labs memberi amaran tentang siri serangan yang menyasarkan peranti NAS daripada TerraMaster (CVE-2020-28188) dan Liferay CMS (CVE-2020-7961) dalam percubaan untuk menyebarkan bot N3Cr0m0rPh IRC dan mata wang kripto Monero. pelombong Arang.

Botnet IRC ialah koleksi komputer yang dijangkiti perisian hasad yang boleh dikawal dari jauh melalui saluran IRC dan melaksanakan perintah berniat jahat.

Dalam kes FreakOut, peranti yang terjejas dikonfigurasikan untuk berkomunikasi dengan pelayan Perintah dan Kawalan (C2) berkod keras dari mana mereka menerima mesej arahan untuk dilaksanakan.

Malware ini juga dilengkapi dengan keupayaan meluas yang membolehkannya melakukan pelbagai tugas, termasuk pengimbasan port, pengumpulan maklumat, mencipta dan menghantar paket data, menghidu rangkaian dan DDoS dan banjir.

Selain itu, hos boleh dirampas sebagai sebahagian daripada operasi botnet untuk melombong mata wang kripto, merebak ke seluruh rangkaian dan melancarkan serangan ke atas sasaran luaran sambil menyamar sebagai syarikat mangsa.

Dengan beratus-ratus peranti telah dijangkiti dalam masa beberapa hari selepas serangan itu dilancarkan, penyelidik memberi amaran, FreakOut akan meningkat ke tahap seterusnya dalam masa terdekat.

TerraMaster dijangka akan menambal kelemahan dalam keluaran 4.2.07. Sementara itu, pengguna digalakkan untuk menaik taraf ke Portal Liferay 7.2 CE GA2 (7.2.1) atau kemudian dan laminas-http 2.14.2 untuk mengurangkan risiko yang berkaitan dengan kesilapan.

“Apa yang kami kenal pasti ialah kempen serangan siber secara langsung dan berterusan yang menyasarkan pengguna Linux tertentu,” kata Adi Ikan, ketua penyelidikan keselamatan siber rangkaian di Check Point. “Penyerang di sebalik kempen ini mempunyai pengalaman luas dengan jenayah siber dan sangat berbahaya.”

“Hakikat bahawa beberapa kelemahan yang dieksploitasi baru sahaja didedahkan kepada umum memberikan kita semua contoh yang baik untuk menyerlahkan kepentingan untuk sentiasa melindungi rangkaian anda dengan tampung dan kemas kini terkini.”

Artikel Berkaitan

Back to top button