恶意软件利用了最近披露的在Linux系统上运行的网络连接存储(NAS)设备中的漏洞,将计算机加入IRC僵尸网络,以发起分布式拒绝服务(DDoS),攻击并挖掘Monero加密货币。
根据CheckPointResearch发布的分析报告显示,这些攻击利用了LaminasProject(以前的ZendFramework)和LiferayPortal修复的关键缺陷,以及TerraMaster未修补的安全漏洞,发布了一种名为“FreakOut”的新型恶意软件。
研究人员认为,这种恶意软件是一名长期从事网络犯罪的黑客所为,自年以来,这名黑客在HackForums和Pastebin上的化名分别是Fl0urite和Freak。研究人员说,这些漏洞(CVE--、CVE--和CVE--)已经被武器化,可以在服务器中注入和执行恶意命令。
不管攻击者利用了哪些漏洞,攻击者的最终目标似乎是下载并使用Python2执行一个名为“out.py”的Python脚本,该脚本于去年停止了运行。这意味着威胁参与者只能攻击设备安装了该版本的用户。
研究人员说:“从hxxp://gxbrowser[.]网站下载的恶意软件是一种代码混淆的Python脚本,其中包含多态代码,每次下载该脚本时,混淆状态都会发生变化。”
在安全研究人员做出此判断三天后,网络安全公司F5Labs警告了一系列针对TerraMaster(CVE--)和LiferayCMS(CVE--)的NAS设备的攻击,试图传播N3Cr0m0rPhIRCbot和Monerocryptocurrencyminer。
IRC僵尸网络是感染了恶意软件的计算机的集合,可以通过IRC通道对其进行远程控制以执行恶意命令。
在FreakOut的例子中,被破坏的设备被配置为与硬编码的命令与控制(C2)服务器通信,从那里它们接收要执行的命令消息。
该恶意软件还具有广泛的功能,可以执行各种任务,包括端口扫描、信息收集、数据包的创建和发送,网络嗅探以及DDoS和泛洪攻击。
此外,这些主机可以作为僵尸网络的一部分被征用,进行加密挖掘,横向扩散到整个网络,并以受害公司的名义对外部目标发动攻击。
研究人员警告称,由于数百台设备在发动攻击后的几天内就已受到感染,FreakOut在不久的将来将进一步升级。
就其本身而言,TerraMaster有望在4.2.07版中修复该漏洞。与此同时,建议用户升级到LiferayPortal7.2CEGA2(7.2.1)或更高版本的laminas-