FreakOut Malware

Eine Kampagne mit einem neuen Malware-Stamm zielt auf anfällige Linux-Geräte ab. Die von Infosec-Forschern als FreakOut-Malware bezeichnete Bedrohung ist mit einer Vielzahl von Funktionen ausgestattet. Das Hauptziel besteht jedoch darin, infizierte Geräte zu einem Botnetz hinzuzufügen, das DDoS-Angriffe (Distributed Denial of Service) und Cryptomining-Aktivitäten starten kann. Auf den kompromittierten Linux-Geräten kann die Bedrohung auch Routinen für das Scannen von Ports und das Sammeln von Daten initiieren. Darüber hinaus richtet FreakOut sowohl einen Netzwerk- als auch einen Datenpaket-Sniffing-Prozess ein.

Als Einstiegspunkt nutzt der Malware-Stamm Schwachstellen aus, die in drei spezifischen Linux-Produkten gefunden wurden. Alle drei kritischen Probleme wurden entweder bereits in einem vom Hersteller veröffentlichten Patch behoben oder sollen im nächsten Versionsupdate behoben werden. Eine der Sicherheitsanfälligkeiten ist ein kritischer Fehler bei der Ausführung von Remotebefehlen (CVE-2020-28188), der den beliebten Hersteller von Datenspeichergeräten TerraMaster TOS (TerraMaster Operating System) betrifft. Die beliebte Sammlung von Bibliothekspackern, Zend Framework, befand sich durch den kritischen Deserialisierungsfehler CVE-2021-3007 auch unter den Zielen von FreakOut. Die dritte Sicherheitsanfälligkeit ist die kritische Deserialisierung nicht vertrauenswürdiger Daten (CVE-2020-7961) im Open-Source-Unternehmensportal Liferay Portal.

FreakOuts Angriffskette

Nachdem das Ziel durch eine der drei Sicherheitslücken infiltriert worden war, lieferten die Angreifer ein Python-Skript, das von einer Website unter https://gxbrowser.net abgerufen wurde. Die Hacker erteilen dem Skript dann über den Befehl 'chmod' Berechtigungen und versuchen, es mit Python 2 auszuführen. Es muss beachtet werden, dass Python 2 die End-of-Life-Phase seines Produktzyklus erreicht hat, sodass für die Angreifer notwendig ist, dass ihre Opfer ein jetzt veraltetes Produkt verwenden, damit der gesamte böswillige Vorgang ausgeführt werden kann.

Bei vollständiger Bereitstellung kann das Python-Skript mit dem Namen "out.py" Port-Scans durchführen, Systemdetails wie Geräteadressen und Speicherinformationen abrufen sowie Pakete erstellen und exfiltrieren. Durch die Verwendung fest codierter Anmeldeinformationen kann die Bedrohung versuchen, andere Netzwerkgeräte durch einen Brute-Force-Angriff zu infizieren.

Die Analyse der Command-and-Control-Infrastruktur (C2, C&C) der FreakOut-Kampagne ergab, dass bereits ungefähr 185 Geräte kompromittiert wurden.