Malware FreakOut

Une campagne impliquant une nouvelle souche de malware cible les appareils Linux vulnérables. Nommée malware FreakOut par les chercheurs d'Infosec, la menace est dotée d'un large éventail de fonctionnalités. Néanmoins, son objectif principal est d'ajouter des appareils infectés à un botnet capable de lancer des attaques DDoS (Distributed Denial of Service) et des activités de cryptomining. Sur les périphériques Linux compromis, la menace peut également lancer des routines d'analyse des ports et de collecte de données. En outre, FreakOut établit également un processus de reniflage de paquets de données et de réseau.

En tant que point d'entrée, la souche de malware exploite les vulnérabilités trouvées dans trois produits Linux spécifiques. Les trois problèmes critiques ont déjà été résolus dans un correctif publié par le fournisseur ou devraient être manipulés dans la prochaine mise à jour de la version. L'une des vulnérabilités est une faille critique d'exécution de commande à distance (CVE-2020-28188) affectant le célèbre fournisseur de périphériques de stockage de données TerraMaster TOS (TerraMaster Operating System). La collection populaire de packers de bibliothèques Zend Framework s'est également retrouvée parmi les cibles de FreakOut via le bogue de désérialisation critique CVE-2021-3007. La troisième vulnérabilité est la désérialisation critique du problème de données non fiables (CVE-2020-7961) trouvé dans le portail d'entreprise open source Liferay Portal.

Chaîne d'attaque de FreakOut

Après avoir infiltré la cible via l'une des trois vulnérabilités, les attaquants ont procédé à la livraison d'un script Python récupéré sur un site Web situé à l'adresse https://gxbrowser.net. Les hackers accordent ensuite des autorisations au script via la commande 'chmod' et essaient de l'exécuter avec Python 2. Il faut noter que Python 2 a atteint la phase de fin de vie de son cycle de produit, les attaquants ont donc besoin de leurs victimes pour utiliser un produit désormais obsolète pour toute l'opération malveillante à effectuer.

Lorsqu'il est entièrement déployé, le script Python nommé 'out.py' peut effectuer une analyse des ports, collecter les détails du système tels que les adresses des périphériques et les informations de mémoire, et créer et exfiltrer des paquets. En utilisant des informations d'identification codées en dur, la menace peut tenter d'infecter d'autres périphériques réseau via une attaque par force brute.

L'analyse de l'infrastructure de commande et de contrôle (C2, C&C) de la campagne FreakOut a révélé qu'environ 185 appareils ont déjà été compromis.