共计 1259 个字符,预计需要花费 4 分钟才能阅读完成。
恶意软件利用了最近披露的在 Linux 零碎上运行的网络连接存储(NAS)设施中的破绽,将计算机退出 IRC 僵尸网络,以发动分布式拒绝服务(DDoS),攻打并开掘 Monero 加密货币。
依据 Check Point Research 公布的剖析报告显示,这些攻打利用了 Laminas Project(以前的 Zend Framework)和 Liferay Portal 修复的要害缺点,以及 TerraMaster 未修补的安全漏洞,公布了一种名为“FreakOut”的新型恶意软件。
钻研人员认为,这种恶意软件是一名长期从事网络立功的黑客所为,自 2015 年以来,这名黑客在 HackForums 和 Pastebin 上的化名别离是 Fl0urite 和 Freak。钻研人员说,这些破绽(CVE-2020-28188、CVE-2021-3007 和 CVE-2020-7961)曾经被武器化,能够在服务器中注入和执行歹意命令。
不论攻击者利用了哪些破绽,攻击者的最终目标仿佛是下载并应用 Python 2 执行一个名为“out.py”的 Python 脚本,该脚本于去年进行了运行。这意味着威逼参与者只能攻打设施装置了该版本的用户。
钻研人员说:“从 hxxp://gxbrowser[.] 网站下载的恶意软件是一种代码混同的 Python 脚本,其中蕴含多态代码,每次下载该脚本时,混同状态都会发生变化。”
在平安钻研人员做出此判断三天后,网络安全公司 F5 Labs 正告了一系列针对 TerraMaster(CVE-2020-28188)和 Liferay CMS(CVE-2020-7961)的 NAS 设施的攻打,试图流传 N3Cr0m0rPh IRC bot 和 Monero cryptocurrency miner。
IRC 僵尸网络是感化了恶意软件的计算机的汇合,能够通过 IRC 通道对其进行近程管制以执行歹意命令。
在 FreakOut 的例子中,被毁坏的设施被配置为与硬编码的命令与管制(C2)服务器通信,从那里它们接管要执行的命令音讯。
该恶意软件还具备宽泛的性能,能够执行各种工作,包含端口扫描、信息收集、数据包的创立和发送,网络嗅探以及 DDoS 和泛洪攻打。
此外,这些主机能够作为僵尸网络的一部分被征用,进行加密开掘,横向扩散到整个网络,并以受益公司的名义对外部指标动员攻打。
钻研人员正告称,因为数百台设施在动员攻打后的几天内就已受到感染,FreakOut 在不久的未来将进一步降级。
就其自身而言,TerraMaster 无望在 4.2.07 版中修复该破绽。与此同时,倡议用户降级到 Liferay Portal 7.2 CE GA2(7.2.1)或更高版本的 laminas-http 2.14.2,以缩小与该破绽相干的危险。
Check Point 网络安全钻研负责人 Adi Ikan 说:“咱们发现的是针对特定 Linux 用户的实时且继续的网络攻击口头,它背地的攻击者在网络立功方面经验丰富,十分危险。”
从另一个方面来讲,一些可能被攻击者利用的破绽被公布进去,也提供了一个很好的例子,突出了用最新的补丁和更新来继续爱护网络的重要性。
