به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت چک پوینت بات نتی به نام فریک اوت (FreakOut) شناسایی کردند که روی برنامههای ناامن سیستمهای لینوکسی هدفگذاری شده است.
این بدافزار که در ماه نوامبر 2020 ظهور کرده اقدام به حملات دیداس، نصب ماینرها، تبدیل سیستمهای آلوده به پروکسی یا انجام حملات به شبکه محلی دستگاههای آلوده مینماید.
فریک اوت شبکه را اسکن میکند تا دستگاههای TerraMaster، برنامههای وب مبتنی بر Zend PHP Framework و سایتهایی که در آنها بستر CMS Liferay Portal کار میکند را پیدا کند.
اپراتورهای فریک اوت پس از یافتن نرمافزارهای هدف از اکسپلویتها جهت بهرهبرداری از سه آسیبپذیری نسبتاً جدید استفاده میکنند تا کنترل سیستم لینوکسی را در اختیار بگیرند.
ازآنجاییکه این آسیبپذیریها بهتازگی شناساییشدهاند، بسیاری از کاربران هنوز وصلهها را نصب نکردهاند و حملات مخرب اغلب موفقیتآمیز هستند.
آسیبپذیری با شناسه (CVE-2020-28188) در کنترل پنل TerraMaster مورخ 24 دسامبر 2020 کشفشده، نقص امنیتی با شناسه (CVE-2021-3007) که مربوط به دیسریالایز در Zend Framework است 3 ژانویه 2020 شناسایی شده است. آسیبپذیری (CVE-2020-7961) نیز مربوط به دی سریالایز در بستر Liferay Portal بوده و 20 مارس 2020 تشخیص داده شده است.
چنانچه حمله موفقیتآمیز باشد، فریک اوت بلافاصله یک اسکریپت Python را روی سیستم آلوده بارگذاری و اجرا میکند که دستگاههای آلوده را به یک کانال IRC متصل میکند. از طریق این کانال نیز مهاجمان میتوانند دستورات زیر را به باتها ارسال کرده و حملات را سازماندهی کنند.
- جمعآوری اطلاعات در مورد سیستم آلوده،
- ایجاد و ارسال بستههای UDP و TCP،
- انجام حملات بروت فورس از طریق Telnet با استفاده از لیست آمادهای از لاگینها و پسوردها،
- اسکن پورتها،
- باز کردن شل معکوس بر روی میزبان آلوده،
- حذف فرآیندهای محلی.
بر طبق گزارش چک پوینت، بات نت مذکور درحالتوسعه است و محققان موفق شدهاند به کانال کنترل IRC هکرها دسترسی پیدا کنند. در حال حاضر بات نت 188 سیستم آلوده را کنترل میکند و در اوج فعالیت خود 300 سیستم را کنترل کرده است.
