Um novo botnet que recebeu o nome de FreakOut ataca sistemas Linux executando software sem patch. Portanto, o FreakOut recém-identificado tem como alvo aplicativos não corrigidos executados em sistemas Linux. A descoberta é de pesquisadores de segurança da Check Point. Visto pela primeira vez em novembro de 2020, o botnet FreakOut apareceu novamente em uma nova série de ataques este mês.
Seus alvos atuais incluem unidades de armazenamento de dados TerraMaster, aplicativos da web construídos sobre o Zend PHP Framework e sites que executam o sistema de gerenciamento de conteúdo do Portal Liferay.
A Check Point diz que o operador do FreakOut está fazendo uma varredura em massa na Internet em busca desses aplicativos. Então, em seguida, utiliza exploits para três vulnerabilidades a fim de obter o controle do sistema Linux subjacente.
Todas as três vulnerabilidades abaixo são bastante recentes, o que significa que há uma grande chance de que as tentativas de exploração do FreakOut tenham sucesso, pois muitos sistemas ainda podem estar atrasados em seus patches.
- CVE-2020-28188 – RCE no painel de gestão TerraMaster (divulgado em 24 de dezembro de 2020)
- CVE-2021-3007 – bug de desserialização no Zend Framework (divulgado em 3 de janeiro de 2021)
- CVE-2020-7961 – bug de desserialização no Portal Liferay (divulgado em 20 de março de 2020)
Novo botnet FreakOut ataca sistemas Linux executando software sem patch
Uma vez que o bot FreakOut ganha acesso a um sistema, sua etapa imediata é baixar e executar um script Python que conecta os dispositivos infectados a um canal IRC remoto onde o atacante pode enviar comandos e orquestrar uma lista variada de ataques usando os dispositivos escravizados.
De acordo com um relatório técnico da Check Point publicado hoje, a lista de comandos que os bots FreakOut podem executar inclui os seguintes:
- Coleta informações sobre o sistema infectado;
- Criação e envio de pacotes UDP e TCP;
- Executa ataques de força bruta Telnet usando uma lista de credenciais codificadas permanentemente;
- Executa uma varredura de porta;
- Execução de um ataque de envenenamento ARP na rede local do dispositivo;
- Abre um shell reverso no host infectado;
- Mata processos locais; e mais.
A Check Point argumenta que essas funções podem ser combinadas para realizar várias operações, como lançar ataques DDoS, instalar mineradores de criptomoeda, transformar bots infectados em uma rede proxy ou lançar ataques na rede interna de um dispositivo infectado.
Engenharia reversa
No entanto, agora, a Check Point diz que o botnet parece estar em sua fase inicial. Os pesquisadores disseram que conseguiram fazer a engenharia reversa do malware e, em seguida, acessar o canal de IRC por meio do qual o operador controlava todo o botnet.
As estatísticas mostradas no painel do IRC sugerem que o botnet está controlando apenas cerca de 180 sistemas infectados. No entanto, números anteriores mostraram que ele apenas atingiu o pico em cerca de 300.
Ambos são números baixos para um botnet, contudo, mais do que o suficiente para lançar ataques DDoS muito eficientes.
Identificaram o atacante
Além disso, a Check Point disse que também encontrou várias pistas no código do malware que permitiram rastrear seu criador, uma pessoa que se conecta com o apelido de Freak.
Depois de uma investigação inteligente, os pesquisadores disseram que conseguiram vincular esse apelido a um antigo acrônimo do hacker Fl0urite, que foi o criador do agora extinto N3Cr0m0rPh, uma cepa de malware de botnet semelhante que foi vendida em fóruns de hackers e dispositivos Windows.
De acordo com uma captura de tela de anúncios N3Cr0m0rPh anteriores, muitos dos recursos do botnet mais antigo são idênticos aos encontrados no malware FreakOut atual que visa sistemas Linux.
ZDNet