انتشار بدافزار FreakOut

به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت چک پوینت بات‌ نتی به نام فریک اوت (FreakOut) شناسایی کردند که روی برنامه‌های ناامن سیستم‌های لینوکسی هدف‌گذاری شده است. 

این بدافزار که در ماه نوامبر 2020 ظهور کرده اقدام به حملات دیداس، نصب ماینرها، تبدیل سیستم‌های آلوده به پروکسی یا انجام حملات به شبکه محلی دستگاه‌های آلوده می‌نماید.

فریک اوت شبکه را اسکن می‌کند تا دستگاه‌های TerraMaster، برنامه‌های وب مبتنی بر Zend PHP Framework و سایت‌هایی که در آن‌ها بستر CMS Liferay Portal کار می‌کند را پیدا کند. 

اپراتورهای فریک اوت پس از یافتن نرم‌افزارهای هدف از اکسپلویت‌ها جهت بهره‌برداری از سه آسیب‌پذیری نسبتاً جدید استفاده می‌کنند تا کنترل سیستم لینوکسی را در اختیار بگیرند. 

ازآنجایی‌که این آسیب‌پذیری‌ها به‌تازگی شناسایی‌شده‌اند، بسیاری از کاربران هنوز وصله‌ها را نصب نکرده‌اند و حملات مخرب اغلب موفقیت‌آمیز هستند.

آسیب‌پذیری با شناسه (CVE-2020-28188) در کنترل پنل TerraMaster مورخ 24 دسامبر 2020 کشف‌شده، نقص امنیتی با شناسه (CVE-2021-3007) که مربوط به دی‌سریالایز در Zend Framework است 3 ژانویه 2020 شناسایی شده است. آسیب‌پذیری (CVE-2020-7961) نیز مربوط به دی سریالایز در بستر Liferay Portal بوده و 20 مارس 2020 تشخیص داده شده است. 

چنانچه حمله موفقیت‌آمیز باشد، فریک اوت بلافاصله یک اسکریپت Python را روی سیستم آلوده بارگذاری و اجرا می‌کند که دستگاه‌های آلوده را به یک کانال IRC متصل می‌کند. از طریق این کانال نیز مهاجمان می‌توانند دستورات زیر را به بات‌ها ارسال کرده و حملات را سازمان‌دهی کنند.

• جمع‌آوری اطلاعات در مورد سیستم آلوده،
• ایجاد و ارسال بسته‌های UDP و TCP،
• انجام حملات بروت فورس از طریق Telnet با استفاده از لیست آماده‌ای از لاگین‌ها و پسوردها،
• اسکن پورت‌ها،
• باز کردن شل معکوس بر روی میزبان آلوده،
• حذف فرآیندهای محلی.

بر طبق گزارش چک پوینت، بات نت مذکور درحال‌توسعه است و محققان موفق شده‌اند به کانال کنترل IRC هکرها دسترسی پیدا کنند. در حال حاضر بات نت 188 سیستم آلوده را کنترل می‌کند و در اوج فعالیت خود 300 سیستم را کنترل کرده است.