تحقیقات جدید نشان میدهد نسخ جدید بدافزار FreakOut قادر به آلودهسازی سرورهای آسیبپذیر VMware vCenter هستند.
در ادامه این مطلب توسط شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده پیشینه این بدافزار و یافته های جدید محققان در خصوص آن ارائه شده است.
FreakOut که با نامهای Necro و N3Cr0m0rPh نیز شناخته میشود، بدافزاری مبتنی بر Python است که دستگاههای با هر یک از بسترهای Windows و Linux را هدف قرار میدهد.
اولین بار در زمستان 1399، در گزارش زیر جزییات این بدافزار بهصورت عمومی منتشر شد:
FreakOut اسکریپتی مبهمسازی شده (Obfuscated) است که هسته چندشکلی (Polymorphic) و قابلیت روتکیتی مبتنی بر کاربر (User-mode Rootkit) آن، فایلهای مخرب ایجاد شده توسط بدافزار را از دید محصولات امنیتی مخفی نگاه میدارد.
این بدافزار با بهرهگیری از چندین آسیبپذیری در سیستمهای عامل و برنامهها و اجرای حملات موسوم به Brute-force در بستر SSH، دستگاهها را به شبکه مخرب (Botnet) خود ملحق میکند.
قابلیتهای پایه این بدافزار مهاجمان را قادر به اجرای حملات DDoS، راهاندازی دربپشتی بر روی سامانههای آلوده، اجرای باجافزار، شنود ترافیک شبکه و اجرای ابزارهای استخراجکننده نظیر XMRig میکند.
بر اساس گزارشی که شرکت سیسکو 13 خرداد آن را منتشر کرد گردانندگان FreakOut از اواخر اردیبهشت که فعالیت شبکه مخرب آن ناگهان افزایش یافته در حال تکامل امکانات انتشار این بدافزار بودهاند.
از جمله این تغییرات میتوان به برقراری ارتباطات متفاوت با سرور فرماندهی (C2) و افزوده شدن قابلیت سوءاستفاده از آسیبپذیریهایی علاوه بر موارد پیشین اشاره کرد.
دستگاههای آلوده بهFreakOut ، دستگاههای دیگر را بر اساس نشانیهایی که بهصورت تصادفی استخراج شدهاند یا نشانیهایی که از سوی سرور فرماندهی در بستر IRC ارسال میشوند شناسایی میکنند.
به ازای هر نشانی IP استخراج شده، دستگاه آلوده تلاش میکند تا با بکارگیری یکی از اکسپلویتهای خود یا اطلاعات اصالتسنجی SSH درج شده در کد بدافزار، به آن رخنه کند.
نسخ اولیه FreakOut تنها آسیبپذیریهای زیر را هدف قرار میدادند:
- Lifearay – Liferay Portal – Java Unmarshalling via JSONWS RCE
- Laravel RCE (CVE-2021-3129)
- WebLogic RCE (CVE-2020-14882)
- TerraMaster TOS
- Laminas Project laminas-http before 2.14.2, & Zend Framework 3.0.0
اما در نسخ جدید موارد زیر نیز به این فهرست افزوده شدهاند:
- VestaCP — VestaCP 0.9.8 – ‘v_sftp_licence’ Command Injection
- ZeroShell 3.9.0 — ‘cgi-bin/kerbynet’ Remote Root Command Injection
- SCO Openserver 5.0.7 — ‘outputform’ Command Injection
- Genexis PLATINUM 4410 2.1 P4410-V2-1.28 — Remote Command Execution vulnerability
- OTRS 6.0.1 — Remote Command Execution vulnerability
- VMWare vCenter — Remote Command Execution vulnerability
- Nrdh.php remote code execution
در فهرست بالا، آسیبپذیری CVE-2021-21972 در VMware vCenter بیش از سایر موارد جلب توجه میکند. این آسیبپذیری در اسفند 1399 وصله شد. اما بر اساس آمار سایتهایی همچون Shodan و BinaryEdge، هزاران سرور vCenter آسیبپذیر همچنان در بستر اینترنت قابل دسترس هستند.
پیشتر و در پی انتشار نمونه کد بهرهجو (Proof-of-Concept) آن نیز گزارشهایی مبنی بر پویش انبوه سرورهای آسیبپذیر vCenter منتشر شده بود. برخی نهادها هم قبلا در خصوص مورد سوءاستفاده قرار گرفتن CVE-2021-21972 توسط مهاجمان هشدار داده بودند.
در موارد متعددی در جریان حملات هدفمند باجافزاری آسیبپذیریهای VMware به استخدام مهاجمان درآمدهاند.
اعمال فوری وصلهها و بهروزرسانیهای امنیتی به تمامی راهبران توصیه میشود.
مشروح گزارش سیسکو در لینک زیر قابل مطالعه است:
https://blog.talosintelligence.com/2021/06/necro-python-bot-adds-new-tricks.html