新型恶意软件曝光！利用 Linux 漏洞进行僵尸网络攻击

恶意软件利用了最近披露的在 Linux 系统上运行的网络连接存储（NAS）设备中的漏洞，将计算机加入 IRC 僵尸网络，以发起分布式拒绝服务（DDoS），攻击并挖掘 Monero 加密货币。

根据 Check Point Research 发布的分析报告显示，这些攻击利用了 Laminas Project （以前的 Zend Framework）和 Liferay Portal 修复的关键缺陷，以及 TerraMaster 未修补的安全漏洞，发布了一种名为“ FreakOut”的新型恶意软件。

研究人员认为，这种恶意软件是一名长期从事网络犯罪的黑客所为，自 2015 年以来，这名黑客在 HackForums 和 Pastebin 上的化名分别是 Fl0urite 和 Freak。研究人员说，这些漏洞（CVE-2020-28188、 CVE-2021-3007 和 CVE-2020-7961）已经被武器化，可以在服务器中注入和执行恶意命令。

不管攻击者利用了哪些漏洞，攻击者的最终目标似乎是下载并使用 Python 2执行一个名为“ out.py”的 Python 脚本，该脚本于去年停止了运行。这意味着威胁参与者只能攻击设备安装了该版本的用户。

研究人员说：“从 hxxp://gxbrowser[.]网站下载的恶意软件是一种代码混淆的 Python 脚本，其中包含多态代码，每次下载该脚本时，混淆状态都会发生变化。”

在安全研究人员做出此判断三天后，网络安全公司 F5 Labs 警告了一系列针对 TerraMaster（CVE-2020-28188）和 Liferay CMS（CVE-2020-7961）的 NAS 设备的攻击，试图传播 N3Cr0m0rPh IRC bot 和 Monero cryptocurrency miner。

IRC 僵尸网络是感染了恶意软件的计算机的集合，可以通过 IRC 通道对其进行远程控制以执行恶意命令。

在 FreakOut 的例子中，被破坏的设备被配置为与硬编码的命令与控制（C2）服务器通信，从那里它们接收要执行的命令消息。

该恶意软件还具有广泛的功能，可以执行各种任务，包括端口扫描、信息收集、数据包的创建和发送，网络嗅探以及 DDoS 和泛洪攻击。

此外，这些主机可以作为僵尸网络的一部分被征用，进行加密挖掘，横向扩散到整个网络，并以受害公司的名义对外部目标发动攻击。

研究人员警告称，由于数百台设备在发动攻击后的几天内就已受到感染，FreakOut 在不久的将来将进一步升级。

就其本身而言，TerraMaster 有望在 4.2.07 版中修复该漏洞。与此同时，建议用户升级到 Liferay Portal 7.2 CE GA2（7.2.1）或更高版本的 laminas-http 2.14.2，以减少与该漏洞相关的风险。

Check Point 网络安全研究负责人 Adi Ikan 说: “我们发现的是针对特定 Linux 用户的实时且持续的网络攻击行动，它背后的攻击者在网络犯罪方面经验丰富，非常危险。”

从另一个方面来讲，一些可能被攻击者利用的漏洞被发布出来，也提供了一个很好的例子，突出了用最新的补丁和更新来持续保护网络的重要性。