В случае успеха киберпреступников каждое зараженное устройство можно использовать в качестве платформы для дальнейших кибератак. Например, будет возможно использовать системные ресурсы для майнинга криптовалюты, распространения атак по сети компании или их запуска на внешние цели, маскируясь под взломанную компанию.
Атаки нацелены на устройства Linux, на которых выполняется одно из следующих действий:
- TerraMaster TOS (операционная система TerraMaster), известный производитель устройств хранения данных.
- Zend Framework, популярная коллекция пакетов библиотек, используемых для создания веб-приложений.
- Liferay Portal, бесплатный корпоративный портал с открытым исходным кодом, с функциями для разработки веб-порталов и веб-сайтов.
На данный момент исследователям CPR удалось отследить 185 систем, зараженных вредоносным ПО. Кроме того, они отметили более 380 дополнительных попыток атак, которые были предотвращены Check Point. Из них более 27% попыток атак были зафиксированы только в США. Другие попытки атак были замечены в России, Великобритании, Италии, Нидерландах и Германии. Главные цели — финансовая отрасль и правительство.
Это хакер, достаточно давно занимающийся киберпреступностью. Он использует несколько псевдонимов, например Fl0urite и Freak. Исследователи CPR еще не установили точную личность злоумышленника.
Как происходит инфицирование
- Злоумышленник начинает с установки вредоносного ПО, используя три уязвимости: CVE-2020-28188,CVE-2021-3007 и CVE-2020-7961.
- Далее он загружает и запускает сценарий Python на взломанных устройствах.
- Потом устанавливает XMRig, известный майнер.
- Оттуда злоумышленник совершает горизонтальное перемещение по сети, используя CVE.
Исследователи CPR призывают пользователей установить патчи на уязвимые фреймворки TerraMaster TOS,Zend Framework, Liferay Portal, если они их используют. Кроме того, эсперты рекомендуют внедрять как решения сетевой кибербезопасности, такие как IPS, так и решения кибербезопасности конечных точек, чтобы предотвратить такие атаки.
«То, что мы обнаружили — это действующая вредоносная кампания, нацеленная на конкретных пользователей Linux. Люди, стоящие за этой кампанией, имеет большой опыт в киберпреступности и очень опасны, — рассказывает Ади Икан, руководитель отдела исследований сетевой кибербезопасности Check PointSoftware Technologies. — Тот факт, что некоторые из использованных уязвимостей были опубликованы буквально только что хороший пример, подчеркивающий важность постоянной защиты вашей сети с помощью исправлений и обновлений. Когда дело касается безопасности вашей организации, очень важны оперативность и срочность. Я настоятельно призываю всех пользователей Lunix исправить уязвимые фреймворки TerraMaster TOS, Zend Framework и Liferay Portal».