Chiến dịch sử dụng phần mềm độc hại mới có tên "FreakOut", bằng cách khai thác các lỗ hổng nghiêm trọng đã được vá (trong dự án Laminas và Liferay Portal) và lỗ hổng chưa được khắc phục trong TerraMaster.

Các nhà nghiên cứu cho biết phần mềm độc hại này là sản phẩm của một tội phạm mạng lâu năm. Các lỗ hổng CVE-2020-28188, CVE-2021-3007 và CVE-2020-7961 được khai thác để thực thi các lệnh độc hại trong máy chủ mục tiêu.

Quy trình tấn công sử dụng mã độc FreakOut

Đầu tiên, tội phạm mạng lừa người dùng tải xuống và thực thi một tập lệnh có tên "out.py" trên Python 2. Điều này có nghĩa, tội phạm mạng đang nhắm đến các thiết bị của người dùng sử dụng các phiên bản Python không còn được hỗ trợ.

Các nhà nghiên cứu cho biết cuộc tấn công đầu tiên đã được phát hiện vào ngày 8/1/2021, "Phần mềm độc hại được tải xuống từ trang web hxxp://gxbrowser.net, là một tập lệnh Python được làm rối mã nguồn có chứa mã độc đa hình, được thay đổi mỗi khi tập lệnh được tải xuống".

Ngày 11/1/2021, Công ty an ninh mạng F5 Labs (Mỹ) đã cảnh báo về một loạt các cuộc tấn công nhắm vào các thiết bị lưu trữ kết nối mạng (Network attached storage - NAS) NAS từ TerraMaster (tồn tại lỗ hổng CVE-2020-28188) và Liferay CMS (tồn tại lỗ hổng CVE-2020-7961), để lây lan bot N3Cr0m0rPh IRC và khai thác tiền điện tử Monero.

Trong trường hợp của FreakOut, các thiết bị bị xâm nhập được cấu hình để giao tiếp với máy chủ điều khiển và ra lệnh được mã hóa cứng, từ đó chúng nhận lệnh để thực thi.

Phần mềm độc hại này cũng đi kèm với các khả năng mở rộng, cho phép thực hiện nhiều tác vụ khác nhau bao gồm: quét cổng, thu thập thông tin, tạo và gửi các gói dữ liệu, dò tìm mạng, thực hiện tấn công DDoS....

Hơn nữa, các máy chủ cũng có thể trở thành một phần của mạng botnet để khai thác tiền điện tử, phát tán qua mạng và phát động các cuộc tấn công vào các mục tiêu khác.

Các nhà nghiên cứu cảnh báo, "hàng trăm thiết bị đã bị nhiễm trong vài ngày sau khi cuộc tấn công được phát động. Dự báo, mã độc FreakOut sẽ gia tăng mức độ lây nhiễm trong tương lai gần".

Nhà phát triển TerraMaster dự kiến ​​sẽ vá lỗ hổng trong phiên bản 4.2.07. Trong thời gian chờ đợi, người dùng cần nâng cấp lên Liferay Portal 7.2 CE GA2 (7.2.1) trở lên và Laminas-http 2.14.2 để giảm thiểu rủi ro.

Adi Ikan, người đứng đầu bộ phận Nghiên cứu an ninh mạng tại Check Point cho biết, “Những gì chúng tôi đã xác định được là một chiến dịch tấn công mạng đang diễn ra và trực tiếp nhắm vào những người dùng Linux cụ thể. Tội phạm mạng đứng sau chiến dịch này rất giàu kinh nghiệm và nguy hiểm. Thực tế là một số lỗ hổng bị khai thác vừa được công bố đã cung cấp cho tất cả chúng ta một ví dụ điển hình để làm nổi bật tầm quan trọng của việc bảo mật mạng bằng cập nhật bản vá nhanh nhất có thể".