Хакеры атакуют пользователей Linux, используя новые уязвимости популярных фреймворков
Специалисты Check Point обнаружили вредоносную кампанию, которая использует недавние уязвимости в системах Linux. Злоумышленники создают ботнет, зараженный новым вариантом вредоносного ПО FreakOut. Последний способен сканировать порты, собирать информацию, анализировать сети, проводить DDoS-атаки и флудить.
В случае успеха киберпреступников каждое зараженное устройство можно использовать в качестве платформы для дальнейших кибератак. Например, будет возможно использовать системные ресурсы для майнинга криптовалюты, распространения атак по сети компании или их запуска на внешние цели, маскируясь под взломанную компанию.
Атаки нацелены на устройства Linux, на которых выполняется одно из следующих действий:
- TerraMaster TOS (операционная система TerraMaster), известный производитель устройств хранения данных;
- Zend Framework, популярная коллекция пакетов библиотек, используемых для создания веб-приложений;
- Liferay Portal, бесплатный корпоративный портал с открытым исходным кодом, с функциями для разработки веб-порталов и веб-сайтов.
На данный момент исследователям CPR удалось отследить 185 систем, зараженных этим вредоносным ПО. Кроме того, они отметили более 380 дополнительных попыток атак, которые были предотвращены Check Point. Из них более 27% попыток атак были зафиксированы в США. Другие попытки атак были замечены в Италии (6.61%), Великобритании (5.46%), Нидерландах (5.17%), Китае (4.89%) и т. д. Главные цели - финансовая отрасль и правительство.
По мнению аналитиков, за атаками стоит хакер, достаточно давно занимающийся киберпреступностью. Он использует несколько псевдонимов, например Fl0urite и Freak. Исследователи пока не установили точно личность злоумышленника.
Как происходит инфицирование:
- Злоумышленник начинает с установки вредоносного ПО, используя три уязвимости: CVE-2020-28188,CVE-2021-3007 и CVE-2020-7961;
- Далее он загружает и запускает сценарий Python на взломанных устройствах;
- Потом устанавливает XMRig, известный майнер;
- Оттуда злоумышленник совершает горизонтальное перемещение по сети, используя CVE.
Для предотвращения возможного заражения исследователи призывают установить патчи на уязвимые фреймворки TerraMaster TOS, Zend Framework, Liferay Portal, если они используются. Кроме того, эксперты рекомендуют внедрять как решения сетевой кибербезопасности, такие как IPS, так и решения кибербезопасности конечных точек, чтобы предотвратить такие атаки.