Nueva botnet FreakOut apunta a vulnerabilidades no parcheadas en sistemas Linux

19 Enero 2021
Alto

Una nueva investigación de Check Point deja a la luz recientes ataques de la botnet FreakOut, la cual aprovecha la existencia de 3 vulnerabilidades ejecutables en sistemas Linux utilizadas sin parches ( TerraMaster, Laminas Project y Liferay Portal)

Botnet FreakOut

Esta nueva Botnet que tuvo sus primeras apariciones en noviembre de 2020, tiene como principal objetivo explotar múltiples vulnerabilidades, incluidas algunas que se publicaron recientemente, para inyectar comandos del sistema operativo. Esto con el fin de crear una botnet IRC, que luego se puede utilizar para varios propósitos, como ataques DDoS o cripto minería.

Según información recaudada por Check Point, se pudo dar con el creador  del código del malware, el cual se conecta a internet con el apodo de “Freak”. Este dato se pudo vincular con el apodo de un pirata informático dado de baja “N3Cr0m0rPh” el cual creó una cepa de malware bastante similar a la actual.

Ataques dirigidos

El modus operandi de esta botnet está dirigido específicamente a dispositivos Linux que ejecutan alguno de estos productos:

  • TerraMaster TOS (sistema operativo TerraMaster): Sistema operativo utilizado para administrar servidores TerraMaster NAS (almacenamiento conectado a la red)
  • Zend Framework: Colección de paquetes utilizados en la construcción de aplicaciones y servicios web usando PHP, con más de 570 millones de instalaciones.
  • Liferay Portal: Portal empresarial gratuito y de código abierto. Es una plataforma de aplicaciones web escrita en Java que ofrece características relevantes para el desarrollo de portales y sitios web.

Check Point agrega que “el operador de FreakOut está escaneando masivamente Internet en busca de estas aplicaciones y luego utiliza exploits para tres vulnerabilidades con el fin de obtener el control del sistema Linux subyacente”.

Cadena de infección de FreakOut

Una vez que la botnet logra ingresar a un sistema por medio de alguna de estas vulnerabilidades:

  • CVE-2020-28188: RCE en el panel de administración de TerraMaster 
  • CVE-2021-3007 : Error de deserialización en Zend Framework 
  • CVE-2020-7961 : Error de deserialización en Liferay Portal 

Su siguiente paso es descargar el malware, el cual corresponde a un script de Python ofuscado que contiene código polimórfico,  a través del sitio web hxxp: // gxbrowser [.] Net. Una vez descargado procede la ejecución del script en Python 2 llamado “OUT.PY” otorgándole permisos con el comando “CHMOD”. Es importante recalcar que Python 2 llegó al final de su vida desde el 2020, por ende, el atacante asume que la víctima está utilizando la versión obsoleta del producto.

Al momento que la botnet tiene acceso al sistema este es capaz de ejecutar un script de Python que conecta los dispositivos infectados a un canal IRC remoto donde el atacante puede enviar comandos tales como:

  • Recopilación de información sobre el sistema infectado
  • Creación y envío de paquetes UDP y TCP
  • Ejecutar ataques de fuerza bruta de Telnet utilizando una lista de credenciales codificadas
  • Ejecutando un escaneo de puertos
  • Ejecutar un ataque de envenenamiento ARP en la red local del dispositivo
  • Abrir un caparazón inverso en el host infectado
  • Matar procesos locales; entre otros.

Cada dispositivo infectado está configurado para comunicarse con un servidor C2 codificado. Todas las credenciales de conexión están ofuscadas y codificadas en el propio código varias veces y se generan utilizando múltiples funciones.

Panorama

Según la investigación recientemente publicada, la botnet FreakOut aún se encuentra en una etapa de inmadurez ya que se tiene conocimiento que está controlando solo alrededor de 180 sistemas infectados siendo que en algún momento alcanzó la cifra de 300 sistemas. Si bien es un número bajo para una botnet, no deja de ser inminente el hecho de ser capaz de lanzar ataques de DDos ( Denegación de servicios).

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir malware
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad.
  • Actualizar los equipos con Linux a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.
  • Verificar si el puerto Telnet está habilitado y funcionando para evaluar si es necesario deshabilitarlo o robustecer su  seguridad

El listado de las CVE se adjunta a continuación:


Tags: #Botnet #FreakOut #DDos #Malware #Linux #IRC #CVE-2020-28188 #CVE-2021-3007 #CVE-2020-7961


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.