Một chiến dịch phần mềm độc hại đang diễn ra đã bị phát hiện khai thác các lỗ hổng được tiết lộ gần đây trong các thiết bị lưu trữ gắn mạng (NAS) chạy trên các hệ thống Linux để đồng chọn các máy này vào mạng botnet IRC để khởi chạy các cuộc tấn công từ chối dịch vụ (DDoS) phân tán và khai thác tiền điện tử Monero .
Các cuộc tấn công triển khai một biến thể phần mềm độc hại mới gọi là “Hoảng hốt” bằng cách tận dụng các lỗi nghiêm trọng đã được sửa trong Dự án Laminas (trước đây là Zend Framework) và Liferay Portal cũng như một điểm yếu bảo mật chưa được vá trong TerraMaster, theo phân tích mới của Check Point Research được công bố hôm nay và chia sẻ với The Hacker News.
Cho rằng phần mềm độc hại là tác phẩm của một hacker tội phạm mạng lâu năm — người có bí danh Fl0urite và Freak trên HackForums và Pastebin ít nhất là từ năm 2015 — các nhà nghiên cứu cho biết các lỗ hổng — CVE-2020-28188, CVE-2021-3007, và CVE-2020-7961 — đã được vũ khí hóa để tiêm và thực thi các lệnh độc hại trong máy chủ.
Bất kể lỗ hổng nào bị khai thác, mục tiêu cuối cùng của kẻ tấn công dường như là tải xuống và thực thi tập lệnh Python có tên “out.py” bằng Python 2, đã hết hạn sử dụng vào năm ngoái — ngụ ý rằng tác nhân đe dọa đang dựa vào khả năng các thiết bị nạn nhân đã cài đặt phiên bản không dùng nữa này.
“Phần mềm độc hại, được tải xuống từ trang web hxxp://gxbrowser[.]net, là một tập lệnh Python bị xáo trộn có chứa mã đa hình, với sự xáo trộn thay đổi mỗi khi tập lệnh được tải xuống,” các nhà nghiên cứu cho biết, đồng thời cho biết thêm cuộc tấn công đầu tiên nhằm tải xuống tệp đã được quan sát thấy vào ngày 8 tháng 1.
Và quả thực, ba ngày sau, công ty an ninh mạng F5 Labs cảnh báo về một loạt các cuộc tấn công nhắm vào các thiết bị NAS từ TerraMaster (CVE-2020-28188) và Liferay CMS (CVE-2020-7961) nhằm phát tán bot N3Cr0m0rPh IRC và công cụ khai thác tiền điện tử Monero.
IRC Botnet là một tập hợp các máy bị nhiễm phần mềm độc hại có thể được điều khiển từ xa thông qua kênh IRC để thực thi các lệnh độc hại.
Trong trường hợp của FreakOut, các thiết bị bị xâm nhập được định cấu hình để giao tiếp với máy chủ ra lệnh và kiểm soát (C2) được mã hóa cứng từ đó chúng nhận thông báo lệnh để thực thi.
Phần mềm độc hại này cũng đi kèm với các khả năng mở rộng cho phép nó thực hiện nhiều tác vụ khác nhau, bao gồm quét cổng, thu thập thông tin, tạo và gửi gói dữ liệu, dò tìm mạng, tấn công DDoS và làm tràn ngập.
Hơn nữa, các máy chủ có thể được chỉ huy như một phần của hoạt động mạng botnet để khai thác tiền điện tử, lan truyền ngang qua mạng và khởi động các cuộc tấn công vào các mục tiêu bên ngoài trong khi giả dạng công ty nạn nhân.
Các nhà nghiên cứu cảnh báo, với hàng trăm thiết bị đã bị lây nhiễm trong vòng vài ngày sau khi phát động cuộc tấn công, FreakOut sẽ tăng lên cấp độ cao hơn trong tương lai gần.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Về phần mình, dự kiến TerraMaster sẽ vá lỗ hổng trong phiên bản 4.2.07. Trong thời gian chờ đợi, người dùng nên nâng cấp lên Liferay Portal 7.2 CE GA2 (7.2.1) trở lên và laminas-http 2.14.2 để giảm thiểu rủi ro liên quan đến các lỗ hổng.
Adi Ikan, trưởng bộ phận nghiên cứu an ninh mạng tại Check Point cho biết: “Những gì chúng tôi đã xác định là một chiến dịch tấn công mạng trực tiếp và đang diễn ra nhắm vào những người dùng Linux cụ thể. “Kẻ tấn công đằng sau chiến dịch này rất có kinh nghiệm về tội phạm mạng và rất nguy hiểm.”
“Thực tế là một số lỗ hổng bị khai thác vừa được công bố, cung cấp cho tất cả chúng ta một ví dụ điển hình để làm nổi bật tầm quan trọng của việc bảo mật mạng của bạn trên cơ sở liên tục với các bản vá và cập nhật mới nhất.”
