Chiến dịch sử dụng phần mềm độc hại mới có tên "FreakOut", bằng cách khai thác các lỗ hổng nghiêm trọng đã được vá (trong dự án Laminas và Liferay Portal) và lỗ hổng chưa được khắc phục trong TerraMaster.
Các nhà nghiên cứu cho biết phần mềm độc hại này là sản phẩm của một tội phạm mạng lâu năm. Các lỗ hổng CVE-2020-28188, CVE-2021-3007 và CVE-2020-7961 được khai thác để thực thi các lệnh độc hại trong máy chủ mục tiêu.
Quy trình tấn công sử dụng mã độc FreakOut
Đầu tiên, tội phạm mạng lừa người dùng tải xuống và thực thi một tập lệnh có tên "out.py" trên Python 2. Điều này có nghĩa, tội phạm mạng đang nhắm đến các thiết bị của người dùng sử dụng các phiên bản Python không còn được hỗ trợ.
Các nhà nghiên cứu cho biết cuộc tấn công đầu tiên đã được phát hiện vào ngày 8/1/2021, "Phần mềm độc hại được tải xuống từ trang web hxxp://gxbrowser.net, là một tập lệnh Python được làm rối mã nguồn có chứa mã độc đa hình, được thay đổi mỗi khi tập lệnh được tải xuống".
Ngày 11/1/2021, Công ty an ninh mạng F5 Labs (Mỹ) đã cảnh báo về một loạt các cuộc tấn công nhắm vào các thiết bị lưu trữ kết nối mạng (Network attached storage - NAS) NAS từ TerraMaster (tồn tại lỗ hổng CVE-2020-28188) và Liferay CMS (tồn tại lỗ hổng CVE-2020-7961), để lây lan bot N3Cr0m0rPh IRC và khai thác tiền điện tử Monero.
Trong trường hợp của FreakOut, các thiết bị bị xâm nhập được cấu hình để giao tiếp với máy chủ điều khiển và ra lệnh được mã hóa cứng, từ đó chúng nhận lệnh để thực thi.
Phần mềm độc hại này cũng đi kèm với các khả năng mở rộng, cho phép thực hiện nhiều tác vụ khác nhau bao gồm: quét cổng, thu thập thông tin, tạo và gửi các gói dữ liệu, dò tìm mạng, thực hiện tấn công DDoS....
Hơn nữa, các máy chủ cũng có thể trở thành một phần của mạng botnet để khai thác tiền điện tử, phát tán qua mạng và phát động các cuộc tấn công vào các mục tiêu khác.
Các nhà nghiên cứu cảnh báo, "hàng trăm thiết bị đã bị nhiễm trong vài ngày sau khi cuộc tấn công được phát động. Dự báo, mã độc FreakOut sẽ gia tăng mức độ lây nhiễm trong tương lai gần".
Nhà phát triển TerraMaster dự kiến sẽ vá lỗ hổng trong phiên bản 4.2.07. Trong thời gian chờ đợi, người dùng cần nâng cấp lên Liferay Portal 7.2 CE GA2 (7.2.1) trở lên và Laminas-http 2.14.2 để giảm thiểu rủi ro.
Adi Ikan, người đứng đầu bộ phận Nghiên cứu an ninh mạng tại Check Point cho biết, “Những gì chúng tôi đã xác định được là một chiến dịch tấn công mạng đang diễn ra và trực tiếp nhắm vào những người dùng Linux cụ thể. Tội phạm mạng đứng sau chiến dịch này rất giàu kinh nghiệm và nguy hiểm. Thực tế là một số lỗ hổng bị khai thác vừa được công bố đã cung cấp cho tất cả chúng ta một ví dụ điển hình để làm nổi bật tầm quan trọng của việc bảo mật mạng bằng cập nhật bản vá nhanh nhất có thể".
Thanh Bùi ( Theo The Hacker News)
07:00 | 18/01/2021
09:00 | 13/06/2022
09:00 | 25/03/2020
13:00 | 05/02/2021
14:00 | 05/02/2021
09:00 | 16/04/2021
15:00 | 18/02/2020
09:00 | 03/05/2024
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024