0xNews - FreakOut 라는 이름의 리눅스 취약점을 악용하는 지속적인 봇넷 공격 경고

0xNews - FreakOut 라는 이름의 리눅스 취약점을 악용하는 지속적인 봇넷 공격 경고


CheckPoint Research 연구팀 발표

https://blog.checkpoint.com/2021/01/19/linux-users-should-patch-now-to-block-new-freakout-malware-which-exploits-new-vulnerabilities/

TerraMaster, Laminas Project, Liferay Portal 에서 새로 패치된 취약점을 활용하는 FreakOut 이라는 새로운 악성 코드 변종 발견


DDoS 공격을 시작하고 모네로 Monero 암호 화폐 채굴하기 위해 시스템의 IRC 봇넷에 통합하기 위해 리눅스 Linux 기기의 최근 공개된 취약점을 악용하는 맬웨어 캠페인




CVE-2020-28188

CVE-2021-3007

CVE-2020-7961

등 취약점 악용하여 공격 수행

서버에 악성 코드 실행하기 위해 무기화된 상태


피해자 기기에 더 이상 사용되지 않은 파이썬 버전이 설치되어 있을 경우

시스템 관계없이 악용된 취약점의 공격자의 최종 목표는 파이썬 파일 다운로드 후 out.py 파이썬 스크립트 실행하기 위해 설치


연구팀은 hxxp://gxbrowser[.]net 사이트에서 다운로드한 악성 코드는 다형성 코드를 포함하는 난독화된 파이썬 스크립트

이 스크립트를 다운로드 할 때마다 난독화 변경


F5 Labs 에서는 N3Cr0m0rPh IRC 봇과 Monero 암호 화폐 채굴을 전파하기 위해 TerraMaster 와 Liferay CMS 의 NAS 기기를 대상으로 하는 일련의 공격에 대해 경고

https://twitter.com/F5Labs/status/1348683108695072768


IRC 봇넷은 악성 명령을 실행하기 위해 IRC 채널을 통해 원격으로 제어할 수 있는 멀웨어에 감염된 시스템 모음


FreakOut 의 경우 손상된 기기는 실행할 명령 메시지를 수신하는 하드 코딩된 명령과 제어 서버 Command & Control Server 와 통신하도록 구성


멀웨어는 포트 스캐닝, 정보 수집, 데이터 패킷 생성과 전송, 네트워크 스니핑, DDoS 등 다양한 작업을 수행 가능


호스트는 암호 화폐 채굴을 위한 봇넷 작업의 일부

명령을 받아 네트워크를 가로 질러 확산

피해자 회사로 위장하여 외부 대상 공격을 시작


연구팀은 이미 캠페인 공격으로 피해가 발생이 됐고 점점 더 높은 수준으로 공격이 될 것이라 경고

이번 캠페인은 특정 리눅스 사용자를 대상으로 하는 실시간이고 지속적인 사이버 공격 캠페인

악용된 일부 취약점은 꾸준히 확인하여 취신 패치와 업데이트를 통해 네트워크를 지속적으로 관리 감독하고 보호해야 한다는 점을 강조


TerraMaster CVE-2020-28188

버전 v.4.2.07 취약점 패치할 것으로 예상

https://www.ihteam.net/advisory/terramaster-tos-multiple-vulnerabilities/


Liferay Portal CVE-2020-7961

Liferay Portal 7.2 CE GA2 7.2.1 이상 업그레이드 권고

https://sourceforge.net/projects/lportal/files/Liferay%20Portal/7.2.1%20GA2/


laminas-http 2.14.2 업그레이드 권고

https://github.com/laminas/laminas-http/releases/tag/2.14.2


댓글

이 블로그의 인기 게시물

0xNews - 새로운 DNS 공격 방식 발견

0xNews - 4가지 새로운 HTTP request 스몰딩 Smuggling 공격 발견

0xNews - Wi-Fi 를 통해 전산실과 분리된 컴퓨팅 공간에서의 데이터 추출 가능