Chiến dịch sử dụng phần mềm độc hại mới có tên "FreakOut", bằng cách khai thác các lỗ hổng nghiêm trọng đã được vá (trong dự án Laminas và Liferay Portal) và lỗ hổng chưa được khắc phục trong TerraMaster.
Các nhà nghiên cứu cho biết phần mềm độc hại này là sản phẩm của một tội phạm mạng lâu năm. Các lỗ hổng CVE-2020-28188, CVE-2021-3007 và CVE-2020-7961 được khai thác để thực thi các lệnh độc hại trong máy chủ mục tiêu.
Quy trình tấn công sử dụng mã độc FreakOut
Đầu tiên, tội phạm mạng lừa người dùng tải xuống và thực thi một tập lệnh có tên "out.py" trên Python 2. Điều này có nghĩa, tội phạm mạng đang nhắm đến các thiết bị của người dùng sử dụng các phiên bản Python không còn được hỗ trợ.
Các nhà nghiên cứu cho biết cuộc tấn công đầu tiên đã được phát hiện vào ngày 8/1/2021, "Phần mềm độc hại được tải xuống từ trang web hxxp://gxbrowser.net, là một tập lệnh Python được làm rối mã nguồn có chứa mã độc đa hình, được thay đổi mỗi khi tập lệnh được tải xuống".
Ngày 11/1/2021, Công ty an ninh mạng F5 Labs (Mỹ) đã cảnh báo về một loạt các cuộc tấn công nhắm vào các thiết bị lưu trữ kết nối mạng (Network attached storage - NAS) NAS từ TerraMaster (tồn tại lỗ hổng CVE-2020-28188) và Liferay CMS (tồn tại lỗ hổng CVE-2020-7961), để lây lan bot N3Cr0m0rPh IRC và khai thác tiền điện tử Monero.
Trong trường hợp của FreakOut, các thiết bị bị xâm nhập được cấu hình để giao tiếp với máy chủ điều khiển và ra lệnh được mã hóa cứng, từ đó chúng nhận lệnh để thực thi.
Phần mềm độc hại này cũng đi kèm với các khả năng mở rộng, cho phép thực hiện nhiều tác vụ khác nhau bao gồm: quét cổng, thu thập thông tin, tạo và gửi các gói dữ liệu, dò tìm mạng, thực hiện tấn công DDoS....
Hơn nữa, các máy chủ cũng có thể trở thành một phần của mạng botnet để khai thác tiền điện tử, phát tán qua mạng và phát động các cuộc tấn công vào các mục tiêu khác.
Các nhà nghiên cứu cảnh báo, "hàng trăm thiết bị đã bị nhiễm trong vài ngày sau khi cuộc tấn công được phát động. Dự báo, mã độc FreakOut sẽ gia tăng mức độ lây nhiễm trong tương lai gần".
Nhà phát triển TerraMaster dự kiến sẽ vá lỗ hổng trong phiên bản 4.2.07. Trong thời gian chờ đợi, người dùng cần nâng cấp lên Liferay Portal 7.2 CE GA2 (7.2.1) trở lên và Laminas-http 2.14.2 để giảm thiểu rủi ro.
Adi Ikan, người đứng đầu bộ phận Nghiên cứu an ninh mạng tại Check Point cho biết, “Những gì chúng tôi đã xác định được là một chiến dịch tấn công mạng đang diễn ra và trực tiếp nhắm vào những người dùng Linux cụ thể. Tội phạm mạng đứng sau chiến dịch này rất giàu kinh nghiệm và nguy hiểm. Thực tế là một số lỗ hổng bị khai thác vừa được công bố đã cung cấp cho tất cả chúng ta một ví dụ điển hình để làm nổi bật tầm quan trọng của việc bảo mật mạng bằng cập nhật bản vá nhanh nhất có thể".
Thanh Bùi ( Theo The Hacker News)
07:00 | 18/01/2021
09:00 | 13/06/2022
09:00 | 25/03/2020
13:00 | 05/02/2021
14:00 | 05/02/2021
09:00 | 16/04/2021
15:00 | 18/02/2020
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024