惡意軟體利用了最近披露的在 Linux 系統上執行的網路連線儲存（NAS）裝置中的漏洞，將計算機加入 IRC 殭屍網路，以發起分散式拒絕服務（DDoS），攻擊並挖掘 Monero 加密貨幣。

根據 Check Point Research 釋出的分析報告顯示，這些攻擊利用了 Laminas Project （以前的 Zend Framework）和 Liferay Portal 修復的關鍵缺陷，以及 TerraMaster 未修補的安全漏洞，釋出了一種名為“ FreakOut”的新型惡意軟體。

研究人員認為，這種惡意軟體是一名長期從事網路犯罪的駭客所為，自 2015 年以來，這名駭客在 HackForums 和 Pastebin 上的化名分別是 Fl0urite 和 Freak。研究人員說，這些漏洞（CVE-2020-28188、 CVE-2021-3007 和 CVE-2020-7961）已經被武器化，可以在伺服器中注入和執行惡意命令。

不管攻擊者利用了哪些漏洞，攻擊者的最終目標似乎是下載並使用 Python 2執行一個名為“ out.py”的 Python 指令碼，該指令碼於去年停止了執行。這意味著威脅參與者只能攻擊裝置安裝了該版本的使用者。

研究人員說：“從 hxxp://gxbrowser[.]網站下載的惡意軟體是一種程式碼混淆的 Python 指令碼，其中包含多型程式碼，每次下載該指令碼時，混淆狀態都會發生變化。”

在安全研究人員做出此判斷三天後，網路安全公司 F5 Labs 警告了一系列針對 TerraMaster（CVE-2020-28188）和 Liferay CMS（CVE-2020-7961）的 NAS 裝置的攻擊，試圖傳播 N3Cr0m0rPh IRC bot 和 Monero cryptocurrency miner。

IRC 殭屍網路是感染了惡意軟體的計算機的集合，可以透過 IRC 通道對其進行遠端控制以執行惡意命令。

在 FreakOut 的例子中，被破壞的裝置被配置為與硬編碼的命令與控制（C2）伺服器通訊，從那裡它們接收要執行的命令訊息。

該惡意軟體還具有廣泛的功能，可以執行各種任務，包括埠掃描、資訊收集、資料包的建立和傳送，網路嗅探以及 DDoS 和泛洪攻擊。

此外，這些主機可以作為殭屍網路的一部分被徵用，進行加密挖掘，橫向擴散到整個網路，並以受害公司的名義對外部目標發動攻擊。

研究人員警告稱，由於數百臺裝置在發動攻擊後的幾天內就已受到感染，FreakOut 在不久的將來將進一步升級。

就其本身而言，TerraMaster 有望在 4.2.07 版中修復該漏洞。與此同時，建議使用者升級到 Liferay Portal 7.2 CE GA2（7.2.1）或更高版本的 laminas-http 2.14.2，以減少與該漏洞相關的風險。

Check Point 網路安全研究負責人 Adi Ikan 說: “我們發現的是針對特定 Linux 使用者的實時且持續的網路攻擊行動，它背後的攻擊者在網路犯罪方面經驗豐富，非常危險。”

從另一個方面來講，一些可能被攻擊者利用的漏洞被髮布出來，也提供了一個很好的例子，突出了用最新的補丁和更新來持續保護網路的重要性。

編譯：芒果果 | 發自：思否編輯部

此文是翻譯，閱讀原文：https://thehackernews.com/2021/01/freakout-ongoing-botnet-attack.html