تحقیقات جدید نشان میدهد نسخ جدید بدافزار FreakOut قادر به آلودهسازی سرورهای آسیبپذیر VMware vCenter هستند.
۰
منبع : مرکز مدیریت راهبردی افتا
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار FreakOut که با نامهای Necro و N۳Cr۰m۰rPh نیز شناخته میشود، بدافزاری مبتنی بر Python است که دستگاههای Windows و Linux را هدف قرار میدهد. نخستینبار در زمستان سال گذشته، چک پوینت با انتشار گزارش زیر جزئیات این بدافزار را بهصورت عمومی منتشر کرد:
https://research.checkpoint.com/۲۰۲۱/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/
FreakOut اسکریپتی مبهم سازی شده (Obfuscated) است که هسته چندشکلی (Polymorphic) و قابلیت روتکیتی مبتنی بر کاربر (User-mode Rootkit) آن، فایلهای مخرب ایجاد شده توسط بدافزار را از دید محصولات امنیتی مخفی نگاه میدارد.
این بدافزار با بهرهگیری از چندین آسیبپذیری در سیستمهای عامل و برنامهها و اجرای حملات Brute-force در بستر SSH، دستگاهها را به شبکه مخرب (Botnet) خود ملحق میکند.
قابلیتهای پایه این بدافزار مهاجمان را قادر به اجرای حملات DDoS، راهاندازی درب پشتی روی سامانههای آلوده، اجرای باجافزار، شنود ترافیک شبکه و اجرای ابزارهای استخراجکننده نظیر XMRig میکند.
بر اساس گزارشی که شرکت سیسکو در خردادماه منتشر کرد گردانندگان FreakOut از اواخر اردیبهشت که فعالیت شبکه مخرب آن ناگهان افزایشیافته، در حال تکامل امکانات انتشار این بدافزار بودهاند. ازجمله این تغییرات میتوان به برقراری ارتباطات متفاوت با سرور فرماندهی (C۲) و افزوده شدن قابلیت سوءاستفاده از آسیبپذیریهایی علاوه بر موارد پیشین اشاره کرد.
دستگاههای آلوده بهFreakOut ، دستگاههای دیگر را بر اساس نشانیهایی که بهصورت تصادفی استخراج شدهاند یا نشانیهایی که از سوی سرور فرماندهی در بستر IRC ارسال میشوند شناسایی میکنند. بهازای هر IP استخراج شده، دستگاه آلوده تلاش میکند تا با بهکارگیری یکی از اکسپلویتهای خود یا اطلاعات اصالتسنجی SSH درج شده در کد بدافزار، به آن نفوذ کند.
.jpg)
نمای کلی ربات Necro و عملکرد آن
نسخ اولیه FreakOut تنها آسیبپذیریهای زیر را هدف قرار میدادند:
Lifearay - Liferay Portal - Java Unmarshalling via JSONWS RCE
Laravel RCE (CVE-۲۰۲۱-۳۱۲۹)
WebLogic RCE (CVE-۲۰۲۰-۱۴۸۸۲)
TerraMaster TOS
Laminas Project laminas-http before ۲,۱۴.۲, & Zend Framework ۳,۰.۰
اما در نسخ جدید موارد زیر نیز به این فهرست افزوده شدهاند:
VestaCP — VestaCP ۰,۹.۸ - 'v_sftp_licence' Command Injection
ZeroShell ۳,۹.۰ — 'cgi-bin/kerbynet' Remote Root Command Injection
SCO Openserver ۵,۰.۷ — 'outputform' Command Injection
Genexis PLATINUM ۴۴۱۰ ۲,۱ P۴۴۱۰-V۲-۱.۲۸ — Remote Command Execution vulnerability
OTRS ۶,۰.۱ — Remote Command Execution vulnerability
VMWare vCenter — Remote Command Execution vulnerability
Nrdh.php remote code execution
در فهرست بالا، آسیبپذیری CVE-۲۰۲۱-۲۱۹۷۲ در VMware vCenter بیش از سایر موارد جلبتوجه میکند. این آسیبپذیری در اسفند ۱۳۹۹ وصله شد. اما بر اساس آمار سایتهایی همچون Shodan و BinaryEdge، هزاران سرور vCenter آسیبپذیر همچنان در بستر اینترنت قابلدسترس هستند.
پیشتر و در پی انتشار POC آن نیز گزارشهایی مبنیبر پویش انبوه سرورهای آسیبپذیر vCenter منتشر شده بود. برخی نهادها هم قبلاً در خصوص مورد سوءاستفاده قرارگرفتن CVE-۲۰۲۱-۲۱۹۷۲ توسط مهاجمان هشدار داده بودند.
در موارد متعددی در جریان حملات هدفمند باجافزاری آسیبپذیریهای VMware تحت کنترل مهاجمان درآمدهاند. اعمال فوری وصلهها و بهروزرسانیهای امنیتی بهتمامی راهبران توصیه میشود.
مشروح گزارش سیسکو در لینک زیر قابل مطالعه است:
https://blog.talosintelligence.com/۲۰۲۱/۰۶/necro-python-bot-adds-new-tricks.html
کد مطلب : 17925
https://aftana.ir/vdcdkn0f.yt05x6a22y.htmlaftana.ir/vdcdkn0f.yt05x6a22y.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵