اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

حمله‌ی بدافزار FreakOut به دستگاه‌های لینوکس

FreakOut malware

پژوهشگران هشدار می‌دهند که یک بدافزار جدید دستگاه‌های لینوکس را هدف قرار داده، تا Endpointهایی را به یک Botnet اضافه کرده و آن‌ها را برای حملات Distributed-Denial-Of-Service یا DDoS و استخراج رمز ارز مورداستفاده قرار دهد.

این نوع از بدافزار که FreakOut نام دارد، دارای چندین قابلیت است، این قابلیت‌ها شامل اسکن کردن پورت، جمع‌آوری اطلاعات و Packet داده و Sniffing شبکه می‌باشد. این بدافزار دستگاه‌های لینوکس آلوده‌ را به یک Botnet متصل می‌کند و دارای این قابلیت است که حملات DDoS و Flooding شبکه و همچنین فعالیت‌های مربوط به استخراج رمز ارز را اجرایی کند.

یکی از پژوهشگران Check Point Research در تجزیه‌و‌تحلیل خود گفت: اگر استفاده از این بدافزار موفقیت‌آمیز باشد، مهاجمان می‌توانند هر دستگاهی که به آن آلوده می‌شود را به‌عنوان یک پلتفرم تهاجمی که از راه دور کنترل می‌شود مورداستفاده قرار دهند تا دستگاه‌های آسیب‌پذیر دیگر را هدف قرار داده و شبکه‌ی ماشین‌های آلوده‌ی خود را گسترش دهند.

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


Exploit کردن نقص‌های حیاتی

FreakOut دستگاه‌های لینوکسی را هدف قرار می‌دهد که نقص‌های مختلف آن‌ها Patch نشده است. این نقص‌ها شامل یک نقص حیاتی در اجرای دستور Remote، در TerraMaster Operating System یا TerraMaster TOS است که یک Vendor محبوب برای دستگاه‌های Storage داده می‌باشد. نسخه‌های پیش از 4.2.06 تحت تأثیر قرار گرفته‌اند و در نسخه‌ی 4.2.07 یک Patch در دسترس قرار خواهد گرفت.

یکی از موارد دیگری که هدف قرار گرفته است، یک اشکال حیاتی در Deserialization در Zend Framework ،CVE-2021-3007 است؛ Zend Framework یک مجموعه‌ی محبوب از بسته‌های Library است که برای ساخت برنامه‌های کاربردی وب مورداستفاده قرار می‌گیرد. این نقص در نسخه‌های جدیدتر از Zend Framework 3.0.0 وجود دارد.

پژوهشگران اعلام کردند: دیگر از Zend Framework پشتیبانی نمی‌شود و Lamins-HTTP Vendor یک Patch مرتبط را برای این آسیب‌پذیری منتشر کرد و باید از 2.14.x bugfix release (patch) استفاده شود.

نهایتاً مهاجمان یک مشکل حیاتی در Deserialization داده‌های غیرقابل اعتماد CVE-2020-7961 در Liferay Portal که یک پورتال سازمانی Open-Source است هدف قرار می‌دهند و این پورتال دارای ویژگی‌هایی برای توسعه‌ی پورتال‌های وب و وب‌سایت‌ها می­باشد.از آنجاییکه نسخه‌های پیش از 7.2.1 CE GA2 تحت تأثیر قرار می‌گیرند؛ یک بروزرسانی در Liferay Portal 7.2 CE GA2 (7.2.1)  یا نسخه‌های جدیدتر در دسترس قرار گرفته است.

همچنین برای تمام محصولاتی که در این CVEها تحت تأثیر قرار گرفته‌اند Patchهایی وجود دارد و به کاربران این محصولات توصیه می‌شود که اگر از هر کدام از این دستگاه استفاده می‌کنند، به‌سرعت آن‌ها را بررسی کرده و بروزرسانی و Patch کنند تا هر گونه آسیب‌پذیری از آن‌ها دور شود.

مهاجمان پس از Exploitکردن هر یک از این نقص‌های حیاتی، یک اسکریپت Python ،Obfuscated به نام out.py که از سایت https://gxbrowser[.]net دانلود شده است را آپلود می‌کنند.

پس از اینکه اسکریپت دانلود شد و با استفاده از دستور chmod، اجازه‌های مربوطه به آن داده شد، مهاجم تلاش می‌کند با استفاده از Python 2 آن را اجرا کند. Python 2 سال گذشته به EOL خود رسید و این یعنی مهاجم فرض می‌کند که این محصول منسوخ روی دستگاه قربانی نصب است.

صنعت‌های تحت ­تأثیر از بدافزار FreakOut

این اسکریپت دارای قابلیت‌های مختلفی است، از جمله ویژگی اسکن پورت، قابلیت جمع‌آوری Fingerprintهای سیستم مانند آدرس‌های دستگاه و اطلاعات حافظه، ایجاد و ارسال Packetها و قابلیت‌های Brute-Force با استفاده از اطلاعات اعتباری Hard-Codeشده جهت آلوده‌سازی دستگاه‌های شبکه‌ی دیگر.

بنا به بررسی انجام ­شده در سرور Command and Control (C2) اصلی متعلق به مهاجم، تخمین زده می‌شود که تاکنون 185 دستگاه هک شده است. پژوهشگران پیشنهاد می‌کنند که کاربران دستگاه‌های لینوکس برای محافظت درمقابل FreakOut از TerraMaster TOS، Zend Framework یا Liferay Portal استفاده کنند تا اطمینان حاصل شود که تمام Patchها پیاده‌سازی شده‌اند. همچنین پیشنهاد می­شود که کاربران، سرورها و دستگاه‌های لینوکس خود را بررسی و Patch کنند تا از Exploit شدن چنین آسیب‌پذیری‌هایی توسط FreakOut پیشگیری شود.

پکیج آموزشی VMware NSX شرکت APK