Threat Database Malware FreakOut malware

FreakOut malware

En kampagne, der involverer en ny malware-stamme, er målrettet mod sårbare Linux-enheder. Navngivet FreakOut malware af infosec-forskere, truslen er udstyret med en bred vifte af funktioner. Alligevel er dets hovedmål at tilføje inficerede enheder til et botnet, der er i stand til at starte DDoS (Distribueret Denial of Service) -angreb og kryptomineringsaktiviteter. På de kompromitterede Linux-enheder kan truslen også indlede rutiner for havnescanning og datahøstning. Derudover etablerer FreakOut også både en netværks- og datapakke-sniffingproces.

Som et indgangspunkt udnytter malware-stammen sårbarheder, der findes i tre specifikke Linux-produkter. Alle tre kritiske problemer er enten allerede blevet løst i en patch frigivet af sælgeren eller er planlagt til at blive manipuleret i den næste versionopdatering. En af sårbarhederne er en kritisk fejl i eksekvering af fjernkommando (CVE-2020-28188), der påvirker den populære leverandør af datalagringsenheder TerraMaster TOS (TerraMaster Operating System). Den populære samling af bibliotekspakkerne Zend Framework befandt sig også blandt FreakOuts mål gennem CVE-2021-3007 kritisk deserialiseringsfejl. Den tredje sårbarhed er kritisk deserialisering af ikke-tillid til dataspørgsmål (CVE-2020-7961), der findes i open source-virksomhedsportalen Liferay Portal.

FreakOuts angrebskæde

Efter infiltration af målet gennem en af de tre sårbarheder fortsatte angriberne med at levere et Python-script hentet fra et websted på https://gxbrowser.net. Hackerne giver derefter tilladelse til scriptet gennem kommandoen 'chmod' og prøver at køre det med Python 2. Det skal bemærkes, at Python 2 nåede slutningen af livsfasen af sin produktcyklus, så angriberne har brug for deres ofre for at bruger et nu udfaset produkt for hele den ondsindede handling, der skal udføres.

Når den er fuldt implementeret, kan Python-scriptet med navnet 'out.py' udføre portscanning, høste systemoplysninger såsom enhedsadresser og hukommelsesinformation og oprette og exfiltrere pakker. Ved at bruge hardkodede legitimationsoplysninger kan truslen forsøge at inficere andre netværksenheder gennem et brutalt kraftangreb.

Analyse af Command-and-Control (C2, C&C) infrastrukturen i FreakOut-kampagnen afslørede, at ca. 185 enheder allerede er kompromitteret.

Trending

Mest sete

Indlæser...