پژوهشگران هشدار میدهند که یک بدافزار جدید دستگاههای لینوکس را هدف قرار داده، تا Endpointهایی را به یک Botnet اضافه کرده و آنها را برای حملات Distributed-Denial-Of-Service یا DDoS و استخراج رمز ارز مورداستفاده قرار دهد.
این نوع از بدافزار که FreakOut نام دارد، دارای چندین قابلیت است، این قابلیتها شامل اسکن کردن پورت، جمعآوری اطلاعات و Packet داده و Sniffing شبکه میباشد. این بدافزار دستگاههای لینوکس آلوده را به یک Botnet متصل میکند و دارای این قابلیت است که حملات DDoS و Flooding شبکه و همچنین فعالیتهای مربوط به استخراج رمز ارز را اجرایی کند.
یکی از پژوهشگران Check Point Research در تجزیهوتحلیل خود گفت: اگر استفاده از این بدافزار موفقیتآمیز باشد، مهاجمان میتوانند هر دستگاهی که به آن آلوده میشود را بهعنوان یک پلتفرم تهاجمی که از راه دور کنترل میشود مورداستفاده قرار دهند تا دستگاههای آسیبپذیر دیگر را هدف قرار داده و شبکهی ماشینهای آلودهی خود را گسترش دهند.
Exploit کردن نقصهای حیاتی
FreakOut دستگاههای لینوکسی را هدف قرار میدهد که نقصهای مختلف آنها Patch نشده است. این نقصها شامل یک نقص حیاتی در اجرای دستور Remote، در TerraMaster Operating System یا TerraMaster TOS است که یک Vendor محبوب برای دستگاههای Storage داده میباشد. نسخههای پیش از 4.2.06 تحت تأثیر قرار گرفتهاند و در نسخهی 4.2.07 یک Patch در دسترس قرار خواهد گرفت.
یکی از موارد دیگری که هدف قرار گرفته است، یک اشکال حیاتی در Deserialization در Zend Framework ،CVE-2021-3007 است؛ Zend Framework یک مجموعهی محبوب از بستههای Library است که برای ساخت برنامههای کاربردی وب مورداستفاده قرار میگیرد. این نقص در نسخههای جدیدتر از Zend Framework 3.0.0 وجود دارد.
پژوهشگران اعلام کردند: دیگر از Zend Framework پشتیبانی نمیشود و Lamins-HTTP Vendor یک Patch مرتبط را برای این آسیبپذیری منتشر کرد و باید از 2.14.x bugfix release (patch) استفاده شود.
نهایتاً مهاجمان یک مشکل حیاتی در Deserialization دادههای غیرقابل اعتماد CVE-2020-7961 در Liferay Portal که یک پورتال سازمانی Open-Source است هدف قرار میدهند و این پورتال دارای ویژگیهایی برای توسعهی پورتالهای وب و وبسایتها میباشد.از آنجاییکه نسخههای پیش از 7.2.1 CE GA2 تحت تأثیر قرار میگیرند؛ یک بروزرسانی در Liferay Portal 7.2 CE GA2 (7.2.1) یا نسخههای جدیدتر در دسترس قرار گرفته است.
همچنین برای تمام محصولاتی که در این CVEها تحت تأثیر قرار گرفتهاند Patchهایی وجود دارد و به کاربران این محصولات توصیه میشود که اگر از هر کدام از این دستگاه استفاده میکنند، بهسرعت آنها را بررسی کرده و بروزرسانی و Patch کنند تا هر گونه آسیبپذیری از آنها دور شود.
مهاجمان پس از Exploitکردن هر یک از این نقصهای حیاتی، یک اسکریپت Python ،Obfuscated به نام out.py که از سایت https://gxbrowser[.]net دانلود شده است را آپلود میکنند.
پس از اینکه اسکریپت دانلود شد و با استفاده از دستور chmod، اجازههای مربوطه به آن داده شد، مهاجم تلاش میکند با استفاده از Python 2 آن را اجرا کند. Python 2 سال گذشته به EOL خود رسید و این یعنی مهاجم فرض میکند که این محصول منسوخ روی دستگاه قربانی نصب است.
صنعتهای تحت تأثیر از بدافزار FreakOut
این اسکریپت دارای قابلیتهای مختلفی است، از جمله ویژگی اسکن پورت، قابلیت جمعآوری Fingerprintهای سیستم مانند آدرسهای دستگاه و اطلاعات حافظه، ایجاد و ارسال Packetها و قابلیتهای Brute-Force با استفاده از اطلاعات اعتباری Hard-Codeشده جهت آلودهسازی دستگاههای شبکهی دیگر.
بنا به بررسی انجام شده در سرور Command and Control (C2) اصلی متعلق به مهاجم، تخمین زده میشود که تاکنون 185 دستگاه هک شده است. پژوهشگران پیشنهاد میکنند که کاربران دستگاههای لینوکس برای محافظت درمقابل FreakOut از TerraMaster TOS، Zend Framework یا Liferay Portal استفاده کنند تا اطمینان حاصل شود که تمام Patchها پیادهسازی شدهاند. همچنین پیشنهاد میشود که کاربران، سرورها و دستگاههای لینوکس خود را بررسی و Patch کنند تا از Exploit شدن چنین آسیبپذیریهایی توسط FreakOut پیشگیری شود.
