Новая вредоносная кампания нацелена на системы Linux
Исследователи компании Check Point Software Technologies заметили вредоносную кампанию, использующую недавние уязвимости в системах Linux для создания ботнета –– сети из зараженных машин, которыми можно управлять удаленно.
В атаках применяется новый вариант вредоносного ПО – FreakOut. Он способен сканировать порты, собирать информацию, анализировать сети, проводить DDoS-атаки и флудить.
В случае успеха киберпреступников каждое зараженное устройство можно использовать в качестве платформы для дальнейших кибератак. Например, будет возможно использовать системные ресурсы для майнинга криптовалюты, распространения атак по сети компании или их запуска на внешние цели, маскируясь под взломанную компанию.
Атаки нацелены на устройства Linux, на которых выполняется одно из следующих действий:
-
TerraMaster TOS (ОС TerraMaster), известный производитель устройств хранения данных.
-
Zend Framework, популярная коллекция пакетов библиотек, используемых для создания веб-приложений.
-
Liferay Portal, бесплатный корпоративный портал с открытым исходным кодом, с функциями для разработки веб-порталов и веб-сайтов.
На данный момент исследователям Check Point Research (CPR) удалось отследить 185 систем, зараженных вредоносным ПО. Они также отметили более 380 дополнительных попыток атак, которые были предотвращены Check Point. Из них более 27% попыток атак были зафиксированы только в США. Другие попытки атак были замечены в России, Великобритании, Италии, Нидерландах и Германии. Главные цели – финансовая отрасль и правительство.
Это хакер, достаточно давно занимающийся киберпреступностью. Он использует несколько псевдонимов, например Fl0urite и Freak. Исследователи CPR еще не установили точную личность злоумышленника.
Инфицирование происходит следующим образом:
-
Злоумышленник начинает с установки вредоносного ПО, используя три уязвимости: CVE-2020-28188,CVE-2021-3007 и CVE-2020-7961.
-
Далее он загружает и запускает сценарий Python на взломанных устройствах.
-
Потом устанавливает XMRig, известный майнер.
-
Оттуда злоумышленник совершает горизонтальное перемещение по сети, используя CVE.
Исследователи CPR призывают пользователей установить патчи на уязвимые фреймворки TerraMaster TOS,Zend Framework, Liferay Portal, если они их используют. Кроме того, эсперты рекомендуют внедрять как решения сетевой кибербезопасности, такие как IPS, так и решения кибербезопасности конечных точек, чтобы предотвратить такие атаки.
«То, что мы обнаружили –– это действующая вредоносная кампания, нацеленная на конкретных пользователей Linux. Люди, стоящие за этой кампанией, имеет большой опыт в киберпреступности и очень опасны, рассказывает Ади Икан, руководитель отдела исследований сетевой кибербезопасности Check PointSoftware Technologies. –– Тот факт, что некоторые из использованных уязвимостей были опубликованы буквально только что –– хороший пример, подчеркивающий важность постоянной защиты вашей сети с помощью исправлений и обновлений. Когда дело касается безопасности вашей организации, очень важны оперативность и срочность. Я настоятельно призываю всех пользователей Lunix исправить уязвимые фреймворки TerraMaster TOS, Zend Framework и Liferay Portal».
Смотреть все статьи по теме "OS Linux (ОС Линукс)"
Смотреть все статьи по теме "Информационная безопасность"