Zistilo sa, že prebiehajúca kampaň proti malvéru využíva nedávno odhalené zraniteľnosti v zariadeniach NAS (Network-Attached Storage) bežiacich na systémoch Linux s cieľom kooptovať tieto stroje do IRC botnetu na spustenie distribuovaných útokov typu denial-of-service (DDoS) a ťažbu kryptomeny Monero. .
Útoky zavádzajú nový variant malvéru s názvom „Šalieť“ využitím kritických chýb opravených v Laminas Project (predtým Zend Framework) a Liferay Portal, ako aj neopravenej bezpečnostnej slabiny v TerraMaster, podľa novej analýzy Check Point Research, ktorá bola dnes zverejnená a zdieľaná s The Hacker News.
Vedci prisudzujú, že malvér je dielom dlhodobého hackera proti počítačovej kriminalite – ktorý má na HackForums a Pastebin prezývky Fl0urite a Freak prinajmenšom od roku 2015 – a uviedli, že ide o chyby – CVE-2020-28188, CVE-2021-3007, a CVE-2020-7961 — boli vybavené zbraňami na vstrekovanie a vykonávanie škodlivých príkazov na serveri.
Bez ohľadu na zneužité zraniteľnosti sa zdá, že konečným cieľom útočníka je stiahnuť a spustiť skript Python s názvom „out.py“ pomocou jazyka Python. 2, ktorej životnosť sa skončila minulý rok, čo naznačuje, že aktér hrozby spolieha na možnosť, že zariadenia obete majú nainštalovanú túto zastaranú verziu.
Malvér stiahnutý zo stránky hxxp://gxbrowser[.]net, je zmätený skript Pythonu, ktorý obsahuje polymorfný kód, pričom zmätok sa mení pri každom stiahnutí skriptu,“ uviedli vedci a dodali, že prvý útok na stiahnutie súboru bol zaznamenaný v januári. 8.
A skutočne, o tri dni neskôr kybernetická bezpečnostná firma F5 Labs varovala pred sériou útokov zameraných na zariadenia NAS od TerraMaster (CVE-2020-28188) a Liferay CMS (CVE-2020-7961) v snahe rozšíriť bota N3Cr0m0rPh IRC a kryptomenu Monero. baník.
Botnet IRC je zbierka počítačov infikovaných škodlivým softvérom, ktoré možno ovládať na diaľku cez kanál IRC a vykonávať škodlivé príkazy.
V prípade FreakOut sú napadnuté zariadenia nakonfigurované tak, aby komunikovali s pevne zakódovaným serverom príkazov a ovládania (C2), odkiaľ dostávajú príkazové správy na vykonanie.
Malvér tiež prichádza s rozsiahlymi schopnosťami, ktoré mu umožňujú vykonávať rôzne úlohy, vrátane skenovania portov, zhromažďovania informácií, vytvárania a odosielania dátových paketov, sieťového sniffovania a DDoS a záplav.
Okrem toho môžu byť hostitelia ovládnutí ako súčasť operácie botnetu na ťažbu kryptomien, šírenie po sieti a spúšťanie útokov na vonkajšie ciele, pričom sa vydáva za spoločnosť obetí.
So stovkami zariadení už infikovaných v priebehu niekoľkých dní od spustenia útoku, varujú výskumníci, FreakOut sa v blízkej budúcnosti zvýši na vyššiu úroveň.
Od TerraMaster sa očakáva, že opraví zraniteľnosť vo verzii 4.2.07. Medzitým sa používateľom odporúča inovovať na portál Liferay 7.2 CE GA2 (7.2.1) alebo neskôr a laminas-http 2.14.2 na zmiernenie rizika spojeného s chybami.
“To, čo sme identifikovali, je živá a prebiehajúca kampaň kybernetických útokov zameraná na konkrétnych používateľov Linuxu,” povedal Adi Ikan, vedúci výskumu sieťovej kybernetickej bezpečnosti v Check Point. “Útočník za touto kampaňou má bohaté skúsenosti s počítačovou kriminalitou a je veľmi nebezpečný.”
„Skutočnosť, že niektoré zo zneužitých zraniteľností boli práve zverejnené, nám všetkým poskytuje dobrý príklad na zdôraznenie významu neustáleho zabezpečenia vašej siete pomocou najnovších záplat a aktualizácií.“
