恶意软件利用最近披露的在Linux系统上运行的网络附加存储(NAS)设备中的漏洞将计算机加入IRC僵尸网络以发起分布式拒绝服务(DDoS)、攻击和挖矿门罗币加密货币。根据CheckPointResearch发布的分析,这些攻击利用了Laminas项目(以前称为ZendFramework)和LiferayPortal修复的严重缺陷,以及TerraMaster中未修补的安全漏洞,发布了一种名为“FreakOut”的新型恶意软件。软件。研究人员认为,该恶意软件是一名长期从事网络犯罪活动的黑客所为,该黑客自2015年以来一直在HackForums上使用别名Fl0urite,在Pastebin上使用别名Freak。这些漏洞(CVE-2020-28188、CVE-2021-3007和CVE-2020-7961)已被武器化,可以在服务器中注入和执行恶意命令,研究人员说。不管攻击者利用了哪些漏洞,攻击者的最终目标似乎是下载并使用Python2来执行名为“out.py”的Python脚本,该脚本于去年停止运行。这意味着威胁行为者只能针对其设备安装了该版本的用户。“从hxxp://gxbrowser[.]网站下载的恶意软件是一个混淆的Python脚本,其中包含每次下载脚本时都会发生变化的多态代码,”研究人员说。在研究人员做出这一判断三天后,网络安全公司F5Labs警告称,来自TerraMaster(CVE-2020-28188)和LiferayCMS(CVE-2020-7961)的一系列针对NAS设备的攻击试图传播N3Cr0m0rPhIRC机器人和Monero加密货币矿工。IRC僵尸网络是一组受恶意软件感染的计算机,可以通过IRC频道远程控制这些计算机以执行恶意命令。在FreakOut的案例中,受感染的设备被配置为与硬编码的命令和控制(C2)服务器通信,它们从那里接收要执行的命令消息。该恶意软件还具有广泛的功能,可以执行各种任务,包括端口扫描、信息收集、创建和发送数据包、网络嗅探以及DDoS和泛洪攻击。此外,这些主机可以作为僵尸网络的一部分被征用,以进行加密挖掘,在网络中横向传播,并以受害公司的名义对外部目标发起攻击。研究人员警告说,FreakOut将在不久的将来进一步升级,因为数百台设备在攻击发生后的几天内已被感染。铁威马方面预计将在4.2.07版本中修复该漏洞。同时,建议用户升级到LiferayPortal7.2CEGA2(7.2.1)或更高版本的laminas-http2.14.2以降低与该漏洞相关的风险。CheckPoint网络安全研究主管AdiIkan表示:“我们看到的是非常危险的攻击者针对特定Linux用户发起的实时和持续的活动,这些攻击者在网络犯罪方面经验丰富。”说到这一点,一些可能被攻击者利用的漏洞的发布也很好地说明了使用最新补丁和更新持续保护网络安全的重要性。
