疯了！利用最近的Linux漏洞进行的僵尸网络攻击

正在进行的恶意软件活动利用最近披露的Linux系统上运行的网络连接存储（NAS）设备中的漏洞，将机器加入IRC僵尸网络，以发起分布式拒绝服务（DDoS）攻击并挖掘Monero加密货币。

这些攻击部署了一种新的恶意软件变体，名为“疯狂的“根据Check Point Research今天发布并与《黑客新闻》分享的最新分析，通过利用Laminas Project（以前的Zend Framework）和Liferay Portal中修复的关键缺陷，以及TerraMaster中未修补的安全漏洞。

将该恶意软件归因于一名长期网络犯罪黑客—；至少自2015年以来，他在HackForum和Pastebin上的化名是Fl0urite和Freak—；研究人员说，这些缺陷—；CVE-2020-28188、CVE-2021-3007和CVE-2020-7961—；被武器化，以便在服务器中注入和执行恶意命令。

不管攻击的漏洞有多大，攻击者的最终目标似乎是使用Python 2下载并执行一个名为“out.py”的Python脚本，该脚本已于去年到期—；这意味着威胁参与者指望受害者设备安装了这个不推荐的版本。

"The malware, downloaded from the site hxxp://gxbrowser[.]net, is an obfuscated Python script which contains polymorphic code, with the obfuscation changing each time the script is downloaded," the researchers said, adding the first attack attempting to download the file was observed on January 8.

事实上，三天后，网络安全公司F5实验室警告称，TerraMaster（CVE-2020-28188）和Liferay CMS（CVE-2020-7961）针对NAS设备发起了一系列攻击，试图传播N3Cr0m0rPh IRC bot和Monero cryptocurrency miner。

IRC僵尸网络是受恶意软件感染的机器的集合，可以通过IRC通道远程控制这些机器以执行恶意命令。

在FreakOut的情况下，受损设备被配置为与硬编码的指挥与控制（C2）服务器通信，从那里接收要执行的命令消息。

该恶意软件还具有广泛的功能，可以执行各种任务，包括端口扫描、信息收集、创建和发送数据包、网络嗅探以及DDoS和洪水。

此外，这些主机可以作为僵尸网络操作的一部分被征用，用于加密挖掘、在网络中横向传播，并伪装成受害者公司对外部目标发起攻击。

研究人员警告称，在发起攻击后的几天内，数百台设备已经受到感染，在不久的将来，疯狂会进一步升级。

TerraMaster则有望在4.2.07版中修补该漏洞。同时，建议用户升级到Liferay Portal 7.2 CE GA2（7.2.1）或更高版本，以及laminas http 2.14.2，以降低与缺陷相关的风险。

Check Point网络安全研究负责人阿迪·伊坎（Adi Ikan）说：“我们发现的是一场针对特定Linux用户的实时网络攻击活动。”。“这场活动背后的攻击者在网络犯罪方面经验丰富，非常危险。”

“一些被利用的漏洞刚刚发布，这一事实为我们提供了一个很好的例子，让我们能够强调持续使用最新补丁和更新来保护您的网络的重要性。”