هشدارهای افتایی
کارزاری مخرب با هدف قرار دادن دستگاه‌های با سیستم عامل Linux و با سوءاستفاده از آسیب‌پذیری‌های امنیتی حیاتی در سه نرم‌افزار اقدام به آلوده‌سازی آن‌ها به بدافزار FreakOut می‌کند.
به گزارش مرکز مدیریت راهبردی افتا، به نقل از سایت bleepingcomputer، بدافزار FreakOut دارای قابلیت‌های متعددی است که دستگاه‌های تسخیر شده را قادر به اجرای انواع حملات سایبری می‌کند.
سیستم عامل TerraMaster، بستر Zend Framework (یا Laminas Project) و Liferay Portal فهرست این نرم‌افزارها را تشکیل می‌دهند. وجه اشتراک هر سه آن‌ها که در کارزار FreakOut هدف قرار گرفته‌اند پراستفاده بودن و وجود ضعف‌هایی حیاتی در آن‌هاست. اگر چه تمامی باگ‌های مورد بهره‌جویی (Exploit) این کارزار ترمیم شده‌اند اما نمونه‌های آسیب‌پذیر همچنان به‌سادگی قابل شناسایی هستند.
TerraMaster سیستم عامل در تجهیزات NAS با برندی با همین عنوان است. نسخه 4.2.06 و نسخ قبل از آن به باگی از نوع اجرای فرمان به‌صورت از راه دور (Remote Command Execution) با شناسه CVE-2020-28188 و درجه حساسیت حیاتی آسیب‌پذیر هستند.
Zend Framework مجموعه‌ای از بسته‌های حرفه‌ای PHP است که بیش از 570 میلیون نصب را در کارنامه دارد. نسخه 3.0.0 آن حاوی باگی حیاتی با شناسه CVE-2021-3007 است که بهره‌جویی از آن مهاجم را قادر به اجرای کد به‌صورت از راه دور می‌کند.
Liferay Portal نیز بستری برای برنامه‌نویسان Java به‌منظور ساخت سرویس‌ها، رابط‌های کاربری، برنامه‌های سفارشی یا پیاده‌سازی نمونه‌های از قبل طراحی شده است. نسخ کد باز Community Edition تا قبل از 7.2.1 به ضعفی با شناسه CVE-2020-7961 آسیب‌پذیر هستند که امکان اجرای کد را فراهم می‌کند.
محققان شرکت Check Point در گزارشی یافته‌های خود را در خصوص حملات FreakOut منتشر کرده‌اند. بر طبق گزارش مذکور، دستگاه‌های مبتنی بر Linux پس از آلوده شدن به FreakOut به بات‌نتی ملحق می‌شوند که امکان اجرای سایر حملات سایبری را برای مهاجم میسر می‌کند. به گفته این محققان، گرداننده می‌تواند در پس این ماشین‌های آلوده اقدام به استخراج رمزارز، گسترش آلودگی در سطح شبکه و دستیابی به سایر اهداف کند.
FreakOut بدافزاری جدید در صحنه تهدیدات سایبری است که می‌تواند برای اجرای اموری همچون پویش درگاه‌ها، جمع‌آوری اطلاعات، شنود شبکه یا اجرای حملات DDoS مورد استفاده قرار بگیرد.
زنجیره آلودگی با بهره‌جویی از یکی از سه آسیب‌پذیری حیاتی آغاز شده و با ارسال یک اسکریپت Python – با نام out.py – بر روی ماشین آلوده ادامه می‌یابد.
در این حملات، اسکریپت با استفاده از Python 2 اجرا می‌شود. این در حالی است که پشتیبانی از Python 2 از سال 2020 متوقف شده است. به نظر می‌رسد که گرداننده این حملات، به‌روز نبودن ماشین‌های آلوده و در نتیجه نصب بودن Python 2 را بسیار محتمل می‌دانسته است.
 


19 دی ماه، دریافت اسکریپت مخرب از نشانی hxxp://gxbrowser[.]net توجه محققان Check Point را جلب می‌کند. این محققان، از آن زمان تا هنگام انتشار گزارش، صدها تلاش برای دریافت کد را رصد کرده‌اند.
با بررسی‌های بیشتر، محققان موفق به کشف نسخ قبلی اسکریپت Python ناقل FreakOut شدند. یکی از این نسخ که شامل توضیحات و حتی عنوان برنامه‌نویس بوده در اولین روز سال میلادی جاری به‌روز شده است.
 


به گفته محققان، مقایسه دو اسکریپت Python و توضیحات درج شده در کد به آن‌ها در کشف روش کار، سازنده آن و روش ارتباطی آن که مبتنی بر IRC است کمک کرده است.
در گزارش فنی Check Point به فهرستی بلندبالا از قابلیت‌های بدافزار FreakOut و جزئیاتی در خصوص نویسنده و سیستم‌های آلوده اشاره شده است.
با تحلیل بدافزار، محققان اطلاعات اصالت‌سنجی کانال IRC را که از آن برای ارسال فرامین به دستگاه‌های آلوده استفاده می‌شود کشف کردند. نتایج بررسی‌ها نشان می‌دهد که سرور IRC در اواخر نوامبر 2020 ایجاد شده و با 300 کاربر و 5 کانال در حال فعالیت بوده است.
برای مثال، بررسی #update به‌عنوان فعال‌ترین کانال نشان می‌دهد که 186 دستگاه آلوده در حال پاسخ‌دهی به آن بوده‌اند.

 
جستجوی عنوان نویسنده بدافزار (Freak) که در اسکریپت Python از آن نام برده شده و همچنین N3Cr0m0rPh (نام بات IRC) محققان را به یک نام کاربری با عنوان "Fl0urite" هدایت کرده که در سال 2015 در یک تالار گفتگوی اینترنتی هکرها یک بات IRC را تبلیغ می‌کرده است.
علیرغم وجود تفاوت‌‌هایی میان نسخه فعلی و نسخه 2015، قابلیت‌های مشترک متعددی در آن‌ها به چشم می‌خورد.
با دنبال کردن سرنخ‌های بیشتر در مورد هویت نویسنده بدافزار، محققان به کد تغییر یافته Darkcomet بر روی Pastebin به تاریخ 23 دی می‌رسند که در آن از Fl0urite/Freak به‌عنوان نویسنده آن یاد شده است.
 


بات‌نت FrakOut هنوز در ابتدای راه است و هدف فعلی آن محدود به توزیع استخراج کننده رمزارز  XMRig بر روی دستگاه‌های آلوده است. با این حال Check Point هشدار داده که شبکه مخرب آن در مدتی کوتاه رشدی چشم‌گیر داشته و قابلیت‌های متعدد آن می‌تواند حملات مخرب دیگری را موجب شود.
مشروح گزارش Check Point در لینک زیر قابل دریافت و مطالعه است:
نشانه‌های آلودگی


منبع:
(با تشکر از شرکت مهندسی  شبکه گستر برای همکاری در تهیه این گزارش)
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.