Операторы вредоноса FreakOut эксплуатируют уязвимости в NAS под управлением Linux

Исследователи безопасности из Check Point Research обнаружили текущую вредоносную кампанию, в ходе которой киберпреступники используют недавно выявленные уязвимости в сетевых хранилищах (NAS), работающих под управлением Linux, для осуществления DDoS-атак и майнинга криптовалюты Monero.

В ходе вредоносной кампании используется новый вариант вредоносного ПО FreakOut. Хакеры эксплуатируют уязвимости в Laminas Project и Liferay Portal, а также неисправленные уязвимости в TerraMaster. Проблемы CVE-2020-28188, CVE-2021-3007 и CVE-2020-7961 используются для внедрения и выполнения вредоносных команд на сервере.

Независимо от используемых уязвимостей, конечной целью злоумышленника является загрузка и выполнение Python-скрипта с именем out.py с использованием Python 2, срок службы которого истек в прошлом году. Таким образом хакер делает ставку на возможность того, что на устройствах жертв установлена данная устаревшая версия.

Первая атака была зафиксирована 8 января. Три дня спустя ИБ-компания F5 Labs предупредила о серии атак на устройства NAS от TerraMaster ( CVE-2020-28188 ) и Liferay CMS ( CVE-2020-7961 ) в попытке распространить IRC-бот N3Cr0m0rPh и майнер криптовалюты Monero.

В случае FreakOut скомпрометированные устройства настроены для связи с встроенным C&C-сервером, откуда они получают команды. Вредонос также обладает обширными возможностями, позволяющими выполнять различные задачи, включая сканирование портов, сбор информации, создание и отправку пакетов данных, анализ сети, а также DDoS-атаки и флуд.

Учитывая, что всего за несколько дней вредонос успел заразить сотни устройств, в ближайшем будущем FreakOut может выйти на более высокий уровень, предупредили эксперты.