FreakOut Malware

Een campagne met een nieuwe malwarestam richt zich op kwetsbare Linux-apparaten. De dreiging, die door infosec-onderzoekers FreakOut-malware werd genoemd, is uitgerust met een breed scala aan functionaliteiten. Toch is het belangrijkste doel om geïnfecteerde apparaten toe te voegen aan een botnet dat DDoS-aanvallen (Distributed Denial of Service) en cryptomining-activiteiten kan lanceren. Op de gecompromitteerde Linux-apparaten kan de dreiging ook routines initiëren voor het scannen van poorten en het verzamelen van gegevens. Bovendien brengt FreakOut ook een netwerk- en datapakket-sniffingproces tot stand.

Als toegangspunt maakt de malware-stam misbruik van kwetsbaarheden die zijn aangetroffen in drie specifieke Linux-producten. Alle drie de kritieke problemen zijn ofwel al aangepakt in een patch die door de leverancier is uitgebracht, of zullen worden gemanipuleerd in de volgende versie-update. Een van de kwetsbaarheden is een kritieke fout bij het uitvoeren van opdrachten op afstand (CVE-2020-28188) die de populaire leverancier van gegevensopslagapparaten TerraMaster TOS (TerraMaster Operating System) aantast. De populaire verzameling bibliotheekverpakkers Zend Framework bevond zich ook onder de doelen van FreakOut door de CVE-2021-3007 kritieke deserialisatiebug. De derde kwetsbaarheid is de kritieke deserialisatie van niet-vertrouwde gegevensprobleem (CVE-2020-7961) gevonden in de open-source enterprise portal Liferay Portal.

De aanvalsketen van FreakOut

Nadat het doelwit door een van de drie kwetsbaarheden was geïnfiltreerd, gingen de aanvallers verder met het afleveren van een Python-script dat was opgehaald van een website op https://gxbrowser.net. De hackers verlenen vervolgens machtigingen aan het script via het 'chmod'-commando en proberen het uit te voeren met Python 2. Opgemerkt moet worden dat Python 2 de End-of-Life-fase van zijn productcyclus heeft bereikt, dus de aanvallers hebben hun slachtoffers nodig om een nu verouderd product gebruiken om de hele kwaadaardige operatie uit te voeren.

Wanneer het volledig is geïmplementeerd, kan het Python-script met de naam 'out.py' poortscans uitvoeren, systeemdetails verzamelen, zoals apparaatadressen en geheugeninformatie, en pakketten maken en exfiltreren. Door hardgecodeerde inloggegevens te gebruiken, kan de dreiging proberen andere netwerkapparaten te infecteren via een brute-force-aanval.

Analyse van de Command-and-Control (C2, C&C) -infrastructuur van de FreakOut-campagne onthulde dat er al ongeveer 185 apparaten zijn gecompromitteerd.