Một chiến dịch phần mềm độc hại đang diễn ra đã được phát hiện đang khai thác các lỗ hổng được tiết lộ gần đây trong các thiết bị lưu trữ gắn liền với mạng (NAS) chạy trên hệ thống Linux để đồng chọn các máy vào một Mạng botnet IRC để khởi chạy các cuộc tấn công từ chối dịch vụ (DDoS) phân tán và khai thác tiền điện tử Monero.
Các cuộc tấn công triển khai một biến thể phần mềm độc hại mới có tên “Hoảng hốt“bằng cách tận dụng các lỗi nghiêm trọng đã được sửa trong Dự án Laminas (trước đây là Zend Framework) và Liferay Portal cũng như điểm yếu bảo mật chưa được vá trong TerraMaster, theo phân tích mới của Check Point Research được phát hành hôm nay và được chia sẻ với The Hacker News.
Các nhà nghiên cứu cho biết, việc gán phần mềm độc hại là tác phẩm của một tin tặc tội phạm mạng lâu năm – người có bí danh Fl0urite và Freak trên HackForums và Pastebin ít nhất kể từ năm 2015 – các nhà nghiên cứu cho biết lỗ hổng – CVE-2020-28188, CVE-2021-3007và CVE-2020-7961 – đã được vũ khí hóa để đưa và thực hiện các lệnh độc hại trong máy chủ.
Bất kể các lỗ hổng được khai thác, mục tiêu cuối cùng của kẻ tấn công dường như là tải xuống và thực thi một tập lệnh Python có tên “out.py” bằng cách sử dụng Python 2, đến cuối cuộc đời năm ngoái – ngụ ý rằng tác nhân đe dọa đang tính đến khả năng thiết bị nạn nhân đã cài đặt phiên bản không dùng nữa này.
“Phần mềm độc hại, được tải xuống từ trang web hxxp: // gxbrowser[.]net, là một tập lệnh Python bị xáo trộn có chứa mã đa hình, với sự xáo trộn thay đổi mỗi khi tập lệnh được tải xuống “, các nhà nghiên cứu cho biết thêm cuộc tấn công đầu tiên cố gắng tải xuống tệp đã được quan sát vào ngày 8 tháng 1.
Và quả thực, ba ngày sau, công ty an ninh mạng F5 Labs cảnh báo của một loạt các cuộc tấn công nhắm vào các thiết bị NAS từ TerraMaster (CVE-2020-28188) và Liferay CMS (CVE-2020-7961) trong nỗ lực lây lan bot N3Cr0m0rPh IRC và công cụ khai thác tiền điện tử Monero.
Botnet IRC là một tập hợp các máy bị nhiễm phần mềm độc hại có thể được điều khiển từ xa thông qua kênh IRC để thực hiện các lệnh độc hại.
Trong trường hợp của FreakOut, các thiết bị bị xâm nhập được cấu hình để giao tiếp với máy chủ điều khiển và lệnh (C2) được mã hóa cứng từ nơi chúng nhận được thông báo lệnh để thực thi.
Phần mềm độc hại này cũng đi kèm với các khả năng mở rộng cho phép nó thực hiện nhiều tác vụ khác nhau, bao gồm quét cổng, thu thập thông tin, tạo và gửi các gói dữ liệu, dò tìm mạng, DDoS và ngập lụt.
Hơn nữa, các máy chủ có thể được chỉ huy như một phần của hoạt động mạng botnet để khai thác tiền điện tử, lan truyền theo chiều ngang qua mạng và phát động các cuộc tấn công vào các mục tiêu bên ngoài trong khi giả danh là công ty nạn nhân.
Các nhà nghiên cứu cảnh báo, với hàng trăm thiết bị đã bị nhiễm virus trong vòng vài ngày sau khi phát động cuộc tấn công, FreakOut sẽ tăng lên các cấp độ cao hơn trong tương lai gần.
Về phần nó, TerraMaster dự kiến sẽ vá lỗ hổng trong phiên bản 4.2.07. Trong thời gian chờ đợi, người dùng nên nâng cấp lên Cổng thông tin Liferay 7.2 CE GA2 (7.2.1) trở lên và laminas-http 2.14.2 để giảm thiểu rủi ro liên quan đến các sai sót.
Adi Ikan, người đứng đầu bộ phận Nghiên cứu an ninh mạng tại Check Point cho biết: “Những gì chúng tôi đã xác định được là một chiến dịch tấn công mạng đang diễn ra và trực tiếp nhắm vào những người dùng Linux cụ thể. “Kẻ tấn công đứng sau chiến dịch này rất giàu kinh nghiệm về tội phạm mạng và rất nguy hiểm.”
“Thực tế là một số lỗ hổng được khai thác vừa được công bố, cung cấp cho tất cả chúng ta một ví dụ điển hình để làm nổi bật tầm quan trọng của việc bảo mật mạng của bạn liên tục bằng các bản vá và cập nhật mới nhất.”
