Ботнет FreakOut теперь атакует уязвимые устройства

11
Программа-вымогатель Groove призывает все банды вымогателей атаковать интересы США

Новое обновление для Python-ботнета FreakOut (также известного как Necro, N3Cr0m0rPh) добавило в свой арсенал недавно опубликованный PoC-эксплойт для Visual Tools DVR, чтобы еще больше помочь в взломе систем.

Майнинг Monero на DVR

Исследователи из Juniper Threat Labs проанализировали недавний образец вредоносного ПО и предупреждают, что Visual Tools DVR VX16 4.2.28.0 с сайта visual-tools.com подвергается атаке с использованием уязвимости без CVE.

Целевое устройство представляет собой цифровой видеорегистратор, используемый в установках профессионального видеооборудования для видеонаблюдения, поддерживающий до 16 камер и передачу видео в реальном времени на два монитора.

Взлом устройства DVR может позволить злоумышленникам распространиться по внутренней корпоративной сети, в которой находится DVR. Кроме того, устройство может быть включено в DDoS-рой ботнета.

В этом случае участники в значительной степени заинтересованы в злоупотреблении скомпрометированными аппаратными ресурсами для добычи криптовалюты.

PoC (доказательство концепции) для нового эксплойта, который представляет собой инъекцию неаутентифицированной команды, был опубликован 6 июля 2021 года и включен в множество других эксплойтов, таких как приведенные ниже:

  • CVE-2020-15568 — TerraMaster TOS до 4.1.29
  • CVE-2021-2900 — Genexis PLATINUM 4410 2.1 P4410-V2-1.28
  • CVE-2020-25494 — Xinuos (ранее SCO) OpenServer v5 и v6
  • CVE-2020-28188 — TerraMaster TOS
  • CVE-2019-12725 — Zeroshell 3.9.0

Когда сканирование ботнета FreakOut обнаруживает уязвимую систему, они используют эксплойт для получения доступа и устанавливают на устройство майнер XMRig Monero.

Функции, которые все еще присутствуют в последних версиях вредоносного ПО FreakOut, включают распространение методом перебора и анализ сети, поэтому, в зависимости от интереса актора или стоимости скомпрометированного объекта, атаки могут перерасти в более сложный компромисс.

Новые приемы

Еще одним интересным аспектом функциональности ботнета является алгоритм генерации домена (DGA), используемый как для его управления и контроля, так и для серверов загрузки.

Похоже, что вредоносная программа использует разные начальные числа в каждой кампании для создания до 253 уникальных псевдослучайных доменов, которые будут использоваться в операциях. Идея состоит в том, чтобы избежать пометок и удалений домена, снижающих его эффективность.

Некоторые важные отличия от образцов FreakOut, проанализированных в предыдущие месяцы:

  • Сканер SMB удален
  • URL-адрес для внедрения скрипта был изменен с жестко заданного на DGA.
  • Прокси TOR Socks с поддержкой DDoS заменены на новые

Чтобы понять, насколько активно развивается FreakOut, в этом году вредоносная программа претерпела два значительных обновления. Один в январе, когда он добавил в свой арсенал эксплойты, нацеленные на Linux, и один в июне, когда он был обновлен для нацеливания на уязвимые серверы VMWare.

Ботнеты всегда ищут незащищенные системы, и, хотя они добавляют новые эксплойты, они, как правило, не «нулевого дня». Если вы будете следовать надлежащим методам установки исправлений и контролировать свои сети на предмет подозрительной активности, вы должны быть защищены от этой угрозы. 

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here