Новая вредоносная кампания нацелена на системы Linux
Исследователи компании Check Point Software Technologies заметили вредоносную кампанию, использующую недавние уязвимости в системах Linux для создания ботнета –– сети из зараженных машин, которыми можно управлять удаленно. В атаках применяется новый вариант вредоносного ПО – FreakOut. Он способен сканировать порты, собирать информацию, анализировать сети, проводить DDoS-атаки и флудить.
В случае успеха киберпреступников каждое зараженное устройство можно использовать в качестве платформы для дальнейших кибератак. Например, будет возможно использовать системные ресурсы для майнинга криптовалюты, распространения атак по сети компании или их запуска на внешние цели, маскируясь под взломанную компанию.
Атаки нацелены на устройства Linux, на которых выполняется одно из следующих действий:
- TerraMaster TOS (операционная система TerraMaster), известный производитель устройств хранения данных.
- Zend Framework, популярная коллекция пакетов библиотек, используемых для создания веб-приложений.
- Liferay Portal, бесплатный корпоративный портал с открытым исходным кодом, с функциями для разработки веб-порталов и веб-сайтов.
На данный момент исследователям CPR удалось отследить 185 систем, зараженных вредоносным ПО. Кроме того, они отметили более 380 дополнительных попыток атак, которые были предотвращены Check Point. Из них более 27% попыток атак были зафиксированы только в США. Другие попытки атак были замечены в России, Великобритании, Италии, Нидерландах и Германии. Главные цели – финансовая отрасль и правительство.
| Страна | % попыток атак |
| США | 27.01 |
| Италия | 6,61 |
| Великобритания | 5.46 |
| Нидерланды | 5.17 |
| Китай | 4.89 |
| Бразилия | 3.74 |
| Германия | 3.45 |
| Испания | 3.45 |
| Россия | 3.45 |
| Сингапур | 3.16 |
По мнению экспертов, злоумышленник - хакер, достаточно давно занимающийся киберпреступностью. Он использует несколько псевдонимов, например Fl0urite и Freak. Исследователи CPR еще не установили точную личность злоумышленника.
Инфицирование происходит следующим образом:
- Злоумышленник начинает с установки вредоносного ПО, используя три уязвимости: CVE-2020-28188,CVE-2021-3007 и CVE-2020-7961.
- Далее он загружает и запускает сценарий Python на взломанных устройствах.
- Потом устанавливает XMRig, известный майнер.
- Оттуда злоумышленник совершает горизонтальное перемещение по сети, используя CVE.
Исследователи CPR призывают пользователей установить патчи на уязвимые фреймворки TerraMaster TOS,Zend Framework, Liferay Portal, если они их используют. Кроме того, эсперты рекомендуют внедрять как решения сетевой кибербезопасности, такие как IPS, так и решения кибербезопасности конечных точек, чтобы предотвратить такие атаки.
«То, что мы обнаружили –– это действующая вредоносная кампания, нацеленная на конкретных пользователей Linux. Люди, стоящие за этой кампанией, имеет большой опыт в киберпреступности и очень опасны, рассказывает Ади Икан, руководитель отдела исследований сетевой кибербезопасности Check PointSoftware Technologies. –– Тот факт, что некоторые из использованных уязвимостей были опубликованы буквально только что –– хороший пример, подчеркивающий важность постоянной защиты вашей сети с помощью исправлений и обновлений. Когда дело касается безопасности вашей организации, очень важны оперативность и срочность. Я настоятельно призываю всех пользователей Lunix исправить уязвимые фреймворки TerraMaster TOS, Zend Framework и Liferay Portal».
Источник: Check Point
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.