恶意软件利用了最近披露的在 Linux 系统上运行的网络连接存储(NAS)设备中的漏洞,将计算机加入 IRC 僵尸网络,以发起分布式拒绝服务(DDoS),攻击并挖掘 Monero 加密货币。
根据 Check Point Research 发布的分析报告显示,这些攻击利用了 Laminas Project (以前的 Zend Framework)和 Liferay Portal 修复的关键缺陷,以及 TerraMaster 未修补的安全漏洞,发布了一种名为“ FreakOut”的新型恶意软件。
研究人员认为,这种恶意软件是一名长期从事网络犯罪的黑客所为,自 2015 年以来,这名黑客在 HackForums 和 Pastebin 上的化名分别是 Fl0urite 和 Freak。研究人员说,这些漏洞(CVE-2020-28188、 CVE-2021-3007 和 CVE-2020-7961)已经被武器化,可以在服务器中注入和执行恶意命令。
不管攻击者利用了哪些漏洞,攻击者的最终目标似乎是下载并使用 Python 2执行一个名为“ out.py”的 Python 脚本,该脚本于去年停止了运行。这意味着威胁参与者只能攻击设备安装了该版本的用户。
研究人员说:“从 hxxp://gxbrowser[.]网站下载的恶意软件是一种代码混淆的 Python 脚本,其中包含多态代码,每次下载该脚本时,混淆状态都会发生变化。”
在安全研究人员做出此判断三天后,网络安全公司 F5 Labs 警告了一系列针对 TerraMaster(CVE-2020-28188)和 Liferay CMS(CVE-2020-7961)的 NAS 设备的攻击,试图传播 N3Cr0m0rPh IRC bot 和 Monero cryptocurrency miner。
IRC 僵尸网络是感染了恶意软件的计算机的集合,可以通过 IRC 通道对其进行远程控制以执行恶意命令。
在 FreakOut 的例子中,被破坏的设备被配置为与硬编码的命令与控制(C2)服务器通信,从那里它们接收要执行的命令消息。
该恶意软件还具有广泛的功能,可以执行各种任务,包括端口扫描、信息收集、数据包的创建和发送,网络嗅探以及 DDoS 和泛洪攻击。
此外,这些主机可以作为僵尸网络的一部分被征用,进行加密挖掘,横向扩散到整个网络,并以受害公司的名义对外部目标发动攻击。
研究人员警告称,由于数百台设备在发动攻击后的几天内就已受到感染,FreakOut 在不久的将来将进一步升级。
就其本身而言,TerraMaster 有望在 4.2.07 版中修复该漏洞。与此同时,建议用户升级到 Liferay Portal 7.2 CE GA2(7.2.1)或更高版本的 laminas-http 2.14.2,以减少与该漏洞相关的风险。
Check Point 网络安全研究负责人 Adi Ikan 说: “我们发现的是针对特定 Linux 用户的实时且持续的网络攻击行动,它背后的攻击者在网络犯罪方面经验丰富,非常危险。”
从另一个方面来讲,一些可能被攻击者利用的漏洞被发布出来,也提供了一个很好的例子,突出了用最新的补丁和更新来持续保护网络的重要性。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。