新型恶意软件曝光!利用 Linux 漏洞进行僵尸网络攻击
芒果果 发布于 1 月 20 日
恶意软件利用了最近披露的在 Linux 系统上运行的网络连接存储(NAS)设备中的漏洞,将计算机加入 IRC 僵尸网络,以发起分布式拒绝服务(DDoS),攻击并挖掘 Monero 加密货币。
根据 Check Point Research 发布的分析报告显示,这些攻击利用了 Laminas Project (以前的 Zend Framework)和 Liferay Portal 修复的关键缺陷,以及 TerraMaster 未修补的安全漏洞,发布了一种名为“ FreakOut”的新型恶意软件。
研究人员认为,这种恶意软件是一名长期从事网络犯罪的黑客所为,自 2015 年以来,这名黑客在 HackForums 和 Pastebin 上的化名分别是 Fl0urite 和 Freak。研究人员说,这些漏洞(CVE-2020-28188、 CVE-2021-3007 和 CVE-2020-7961)已经被武器化,可以在服务器中注入和执行恶意命令。
不管攻击者利用了哪些漏洞,攻击者的最终目标似乎是下载并使用 Python 2执行一个名为“ out.py”的 Python 脚本,该脚本于去年停止了运行。这意味着威胁参与者只能攻击设备安装了该版本的用户。
研究人员说:“从 hxxp://gxbrowser[.]网站下载的恶意软件是一种代码混淆的 Python 脚本,其中包含多态代码,每次下载该脚本时,混淆状态都会发生变化。”
在安全研究人员做出此判断三天后,网络安全公司 F5 Labs 警告了一系列针对 TerraMaster(CVE-2020-28188)和 Liferay CMS(CVE-2020-7961)的 NAS 设备的攻击,试图传播 N3Cr0m0rPh IRC bot 和 Monero cryptocurrency miner。
IRC 僵尸网络是感染了恶意软件的计算机的集合,可以通过 IRC 通道对其进行远程控制以执行恶意命令。
在 FreakOut 的例子中,被破坏的设备被配置为与硬编码的命令与控制(C2)服务器通信,从那里它们接收要执行的命令消息。
该恶意软件还具有广泛的功能,可以执行各种任务,包括端口扫描、信息收集、数据包的创建和发送,网络嗅探以及 DDoS 和泛洪攻击。
此外,这些主机可以作为僵尸网络的一部分被征用,进行加密挖掘,横向扩散到整个网络,并以受害公司的名义对外部目标发动攻击。
研究人员警告称,由于数百台设备在发动攻击后的几天内就已受到感染,FreakOut 在不久的将来将进一步升级。
就其本身而言,TerraMaster 有望在 4.2.07 版中修复该漏洞。与此同时,建议用户升级到 Liferay Portal 7.2 CE GA2(7.2.1)或更高版本的 laminas-http 2.14.2,以减少与该漏洞相关的风险。
Check Point 网络安全研究负责人 Adi Ikan 说: “我们发现的是针对特定 Linux 用户的实时且持续的网络攻击行动,它背后的攻击者在网络犯罪方面经验丰富,非常危险。”
从另一个方面来讲,一些可能被攻击者利用的漏洞被发布出来,也提供了一个很好的例子,突出了用最新的补丁和更新来持续保护网络的重要性。
SegmentFault 行业快讯
芒果果
一路走走看看,顺便留下点什么。
芒果果
一路走走看看,顺便留下点什么。
宣传栏
恶意软件利用了最近披露的在 Linux 系统上运行的网络连接存储(NAS)设备中的漏洞,将计算机加入 IRC 僵尸网络,以发起分布式拒绝服务(DDoS),攻击并挖掘 Monero 加密货币。
根据 Check Point Research 发布的分析报告显示,这些攻击利用了 Laminas Project (以前的 Zend Framework)和 Liferay Portal 修复的关键缺陷,以及 TerraMaster 未修补的安全漏洞,发布了一种名为“ FreakOut”的新型恶意软件。
研究人员认为,这种恶意软件是一名长期从事网络犯罪的黑客所为,自 2015 年以来,这名黑客在 HackForums 和 Pastebin 上的化名分别是 Fl0urite 和 Freak。研究人员说,这些漏洞(CVE-2020-28188、 CVE-2021-3007 和 CVE-2020-7961)已经被武器化,可以在服务器中注入和执行恶意命令。
不管攻击者利用了哪些漏洞,攻击者的最终目标似乎是下载并使用 Python 2执行一个名为“ out.py”的 Python 脚本,该脚本于去年停止了运行。这意味着威胁参与者只能攻击设备安装了该版本的用户。
研究人员说:“从 hxxp://gxbrowser[.]网站下载的恶意软件是一种代码混淆的 Python 脚本,其中包含多态代码,每次下载该脚本时,混淆状态都会发生变化。”
在安全研究人员做出此判断三天后,网络安全公司 F5 Labs 警告了一系列针对 TerraMaster(CVE-2020-28188)和 Liferay CMS(CVE-2020-7961)的 NAS 设备的攻击,试图传播 N3Cr0m0rPh IRC bot 和 Monero cryptocurrency miner。
IRC 僵尸网络是感染了恶意软件的计算机的集合,可以通过 IRC 通道对其进行远程控制以执行恶意命令。
在 FreakOut 的例子中,被破坏的设备被配置为与硬编码的命令与控制(C2)服务器通信,从那里它们接收要执行的命令消息。
该恶意软件还具有广泛的功能,可以执行各种任务,包括端口扫描、信息收集、数据包的创建和发送,网络嗅探以及 DDoS 和泛洪攻击。
此外,这些主机可以作为僵尸网络的一部分被征用,进行加密挖掘,横向扩散到整个网络,并以受害公司的名义对外部目标发动攻击。
研究人员警告称,由于数百台设备在发动攻击后的几天内就已受到感染,FreakOut 在不久的将来将进一步升级。
就其本身而言,TerraMaster 有望在 4.2.07 版中修复该漏洞。与此同时,建议用户升级到 Liferay Portal 7.2 CE GA2(7.2.1)或更高版本的 laminas-http 2.14.2,以减少与该漏洞相关的风险。
Check Point 网络安全研究负责人 Adi Ikan 说: “我们发现的是针对特定 Linux 用户的实时且持续的网络攻击行动,它背后的攻击者在网络犯罪方面经验丰富,非常危险。”
从另一个方面来讲,一些可能被攻击者利用的漏洞被发布出来,也提供了一个很好的例子,突出了用最新的补丁和更新来持续保护网络的重要性。
