متابعات-ميكسي نيوز
فريت! هجوم Botnet….تم العثور على حملة خبيثة مستمرة استغلال نقاط الضعف التي تم الكشف عنها مؤخرًا في أجهزة التخزين المربوطة بالشبكة (NAS) التي تعمل على أنظمة Linux لمشاركة الآلات في IRC botnet لإطلاق هجمات رفض الخدمة الموزعة (DDOS) والتعدين العملة المشفرة Monero.
تنشر الهجمات متغير برامج ضارة جديدة تسمى “غريب“من خلال الاستفادة من العيوب الحرجة الثابتة في مشروع Laminas (إطار Zend سابقًا) وبوابة Liferay بالإضافة إلى ضعف أمنية غير محتلة في Terramaster ، وفقًا للتحليل الجديد لـ Check Point Research المنشورة اليوم وشاركت مع أخبار المتسلل.
يعزى البرامج الضارة إلى أن تكون عمل متسلل جرائم إلكترونية منذ فترة طويلة-الذي يذهب إلى الأسماء المستعارة fl0urite و freak على hackforums و pastebin على الأقل منذ عام 2015-قال الباحثون إن العيوب- CVE-2020-28188و CVE-2021-3007، و CVE-2020-7961 – تم سلاحه لحقن وتنفيذ الأوامر الضارة في الخادم.
بغض النظر عن نقاط الضعف المستغلة ، يبدو أن الهدف النهائي للمهاجم هو تنزيل وتنفيذ نص Python يسمى “Out.py” باستخدام Python 2 ، وهو ما وصلت إلى نهاية الحياة في العام الماضي – مما يعني ضمناً أن ممثل التهديد هو المصرفي على احتمال تثبيت أجهزة الضحايا هذه النسخة المنهكة.
وقال الباحثون: “البرامج الضارة ، التي تم تنزيلها من موقع Hxxp: // GxBrowser (.) Net ، هي نص Python المثير الذي يحتوي على رمز متعدد الأشكال ، حيث تم ملاحظة التغلب في كل مرة يتم فيها تنزيل البرنامج النصي”.
وبالفعل ، بعد ثلاثة أيام ، شركة الأمن السيبراني F5 Labs حذر من سلسلة من الهجمات التي تستهدف أجهزة NAS من Terramaster (CVE-2020-28188) و Liferay CMS (CVE-2020-7961) في محاولة لنشر N3CR0M0RPH IRC BOT و MONERO CRYPTOCRUNCY MINER.
BOTNET IRC عبارة عن مجموعة من الآلات المصابة بالبرامج الضارة التي يمكن التحكم فيها عن بُعد عبر قناة IRC لتنفيذ الأوامر الضارة.
في حالة Freakout ، يتم تكوين الأجهزة المربوطة للتواصل مع خادم أوامر وسيطرة (C2) المتشددين (C2) من حيث يتلقون رسائل الأوامر لتنفيذها.
تأتي البرامج الضارة أيضًا مع إمكانات واسعة تسمح لها بأداء مهام مختلفة ، بما في ذلك المسح الضوئي للمنفذ وجمع المعلومات وإنشاء وإرسال حزم البيانات ، واستنشاق الشبكة ، و DDOs والفيضانات.
علاوة على ذلك ، يمكن الحصول على المضيفين كجزء من عملية الروبوتات لتصنيع التشفير ، وينتشرون بشكل جانبي عبر الشبكة ، وإطلاق هجمات على أهداف خارجية بينما تتنكر كشركة الضحايا.
مع وجود مئات من الأجهزة المصابة بالفعل في غضون أيام من شن الهجوم ، يحذر الباحثون من أن Freakout سوف يرتفع إلى مستويات أعلى في المستقبل القريب.
من جانبها ، terramaster من المتوقع أن تصحيح الضعف في الإصدار 4.2.07. في غضون ذلك ، يوصى بالترقية إلى المستخدمين بوابة Liferay 7.2 CE GA2 (7.2.1) أو لاحقًا و Laminas-HTTP 2.14.2 للتخفيف من المخاطر المرتبطة بالعيوب.
وقال عدي إيكان ، رئيس أبحاث الأمن السيبراني في الشبكة في Check Point: “ما حددناه هو حملة هجوم إلكترونية حية ومستمرة تستهدف مستخدمين محددين في Linux”. “المهاجم وراء هذه الحملة من ذوي الخبرة في الجرائم الإلكترونية وخطورة للغاية.”
“حقيقة أن بعض نقاط الضعف المستغلة تم نشرها للتو ، توفر لنا جميعًا مثالًا جيدًا لتسليط الضوء على أهمية تأمين شبكتك على أساس مستمر مع أحدث التصحيحات والتحديثات.”
