Недавно обнаруженный ботнет FreakOut нацелен на плохо защищённые приложения, которые работают поверх систем Linux. Выявленный в конце ноября 2020 года ботнет снова проявляет свою активность, о чем сообщает компания Check Point.
Специалисты Check Point в своём отчете говорят о том, что ботнет FreakOut имеет несколько определенных целей:
- устройства хранения данных TerraMaster;
- приложения, разработанные на базе Zend PHP Framework;
- сайты с системой управления контентом Lifeplay Portal.
В Check Point утверждают, что оператор ботнета FreakOut проводит массовое сканирование интернета на предмет этих программных решений, а затем применяет эксплойты для трех уязвимостей, чтобы обеспечить себе контроль над пользовательской системой Linux.
Все три уязвимости были выявлены относительно недавно, поэтому высока вероятность того, что попытки применения ботнета FreakOut окажутся эффективными, т. к. процессы установки обновления безопасности обычно затягиваются. Уязвимости следующие:
- CVE-2020-28188 (RCE-уязвимость в панели управления устройства хранения данных TerraMaster);
- CVE-2021-3007 (ошибка десериализации в Zend Framework);
- CVE-2020-7961 (ошибка десериализации на в CMS Liferay).
После того как ботнет FreakOut получает доступ к скомпрометированной системе, он начинает загрузку и последующий запуск скрипта на Python, который подключает зараженные устройства к удаленному каналу IRC, с помощью которого киберпреступники могут отправлять команды и организовывать различные атаки.
В отчете Check Point говорится о том, что ботнет FreakOut находится сейчас «в зачаточном состоянии». Эксперты по кибербезопасности заявляют, что у них получилось реконструировать вредоносное ПО и получить доступ к каналу IRC, по которому оператор контролировал ботнет. По полученной информации стало ясно, что сейчас ботнет контролирует около 200 зараженных систем. Это сравнительно малая цифра, как отмечают в Check Point, но вполне достаточная для запуска эффективной DDoS-атаки.
Кроме того, в Check Point заявили, что специалисты компании нашли в коде вредоносного ПО несколько ключей, которые позволили выследить его разработчика – пользователя под ником Freak. Проведенное расследование показало, что новый псевдоним связан со старым хакерским акронимом Fl0urite, который был создателем ныне несуществующего N3Cr0m0rPh (штамм вредоносного ботнета, который продавался в даркнете и использовался для взлома Windows).
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ