Мультиплатформенное вредоносное ПО на основе Python, нацеленное на устройства Windows и Linux, теперь было обновлено, чтобы проникнуть на открытые в Интернете серверы VMware vCenter, не защищенные от уязвимости удаленного выполнения кода.
Вредоносная программа, названная в январе исследователями CheckPoint FreakOut (также известная как Necro и N3Cr0m0rPh), представляет собой обфусцированный скрипт Python, предназначенный для уклонения от обнаружения с помощью полиморфного движка и руткита пользовательского режима, скрывающего вредоносные файлы, попавшие в скомпрометированные системы.
FreakOut распространяется за счет использования широкого спектра уязвимостей ОС и приложений и перебора паролей через SSH, добавляя зараженные устройства в ботнет IRC, контролируемый его хозяевами.
Основные функции вредоносного ПО позволяют операторам запускать DDoS-атаки, заражать бэкдор-системы, анализировать и извлекать сетевой трафик, а также развертывать майнеры XMRig для майнинга криптовалюты Monero.
Вредоносное ПО обновлено новыми эксплойтами
Как сообщили исследователи Cisco Talos в опубликованном сегодня отчете, разработчики FreakOut усиленно работали над улучшением возможностей распространения вредоносного ПО с начала мая, когда активность ботнета внезапно возросла.«Хотя бот был первоначально обнаружен в начале этого года, последние действия показывают многочисленные изменения в боте, начиная от различных коммуникаций управления и контроля (C2) и добавления новых эксплойтов для распространения, в первую очередь уязвимостей в VMWare vSphere, SCO OpenServer, Панель управления Vesta и эксплойты на основе SMB, которых не было в более ранних версиях кода, - сказал Ваня Свайцер, исследователь безопасности Cisco Talos.
Боты FreakOut сканируют новые системы для нацеливания либо путем случайной генерации сетевых диапазонов, либо по командам своих хозяев, отправляемых через IRC через командно-управляющий сервер.
Для каждого IP-адреса в списке сканирования бот попытается использовать один из встроенных эксплойтов или войдет в систему, используя жестко запрограммированный список учетных данных SSH.
Изображение: Cisco Talos
В то время как ранние версии FreakOut могли эксплуатировать только уязвимые версии веб-приложений Lifearay, Laravel, WebLogic, TerraMaster и Zend Framework (Laminas Project), последние имеют более чем в два раза больше встроенных эксплойтов.
Среди недавно добавленных эксплойтов к вариантам вредоносного ПО, обнаруженных Cisco Talos в мае, являются:
- VestaCP - VestaCP 0.9.8 - Внедрение команды v_sftp_licence
- ZeroShell 3.9.0 - 'cgi-bin / kerbynet' Внедрение удаленной корневой команды
- SCO Openserver 5.0.7 - внедрение команды 'outputform'
- Genexis PLATINUM 4410 2.1 P4410-V2-1.28 - уязвимость удаленного выполнения команд
- OTRS 6.0.1 - уязвимость удаленного выполнения команд
- VMWare vCenter - уязвимость удаленного выполнения команд
- Эксплойт удаленного выполнения кода Nrdh.php для неизвестного приложения
- Версии Python эксплойтов EternalBlue ( CVE-2017-0144 ) и EternalRomance ( CVE-2017-0147 )
Тысячи серверов VMware подвержены атакам
Уязвимость VMware vCenter (CVE-2021-21972) присутствует в подключаемом модуле vCenter для vRealize Operations (vROps) и особенно интересна, поскольку она влияет на все установки vCenter Server по умолчанию.Как показывают Shodan и BinaryEdge, в настоящее время через Интернет доступны тысячи непропатченных серверов vCenter .
Злоумышленники ранее массово сканировали уязвимые серверы vCenter, доступные в Интернете, после того, как исследователи безопасности опубликовали тестовый код эксплойта (PoC).
Государственные хакеры Службы внешней разведки России (СВР) также добавили в свой арсенал эксплойты CVE-2021-21972 в феврале, активно используя их в текущих кампаниях.
В прошлом уязвимости VMware также использовались в атаках программ-вымогателей, нацеленных на корпоративные сети. Как сообщила Cisco Talos, операторы FreakOut также развертывали специальный штамм вымогателей, показывая, что они активно экспериментируют с новыми вредоносными полезными нагрузками.
Несколько банд вымогателей, в том числе RansomExx, Babuk Locker и Darkside, ранее использовали эксплойты RCE с предварительной авторизацией VMWare ESXi для шифрования виртуальных жестких дисков, используемых в качестве централизованного корпоративного хранилища.
«Бот Necro Python показывает актера, который следит за последними разработками эксплойтов удаленного выполнения команд в различных веб-приложениях и включает новые эксплойты в бота. Это увеличивает его шансы на распространение и заражение систем», - добавил Свайцер.
«Пользователи должны регулярно устанавливать последние обновления безопасности для всех приложений, а не только для операционных систем».
Перевод - Google
Bleeping Computer