سرورهای آسیب‌پذیر vCenter، هدف بدافزار FreakOut

تحقیقات جدید نشان می‌دهد نسخ جدید بدافزار FreakOut قادر به آلوده‌سازی سرورهای آسیب‌پذیر VMware vCenter هستند.
به گزارش مرکز مدیریت راهبردی افتا، FreakOut که با نام‌های Necro و N۳Cr۰m۰rPh نیز شناخته می‌شود، بدافزاری مبتنی بر Python است که دستگاه‌های Windows و Linux را هدف قرار می‌دهد.
اولین‌بار در زمستان سال گذشته، چک پوینت با انتشار گزارش زیر جزئیات این بدافزار را به‌صورت عمومی منتشر کرد:

https://research.checkpoint.com/۲۰۲۱/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/

FreakOut اسکریپتی مبهم ‌سازی شده (Obfuscated) است که هسته چندشکلی (Polymorphic) و قابلیت روتکیتی مبتنی بر کاربر (User-mode Rootkit) آن، فایل‌های مخرب ایجاد شده توسط بدافزار را از دید محصولات امنیتی مخفی نگاه می‌دارد.
این بدافزار با بهره‌گیری از چندین آسیب‌پذیری در سیستم‌های عامل و برنامه‌ها و اجرای حملات Brute-force در بستر SSH، دستگاه‌ها را به شبکه مخرب (Botnet) خود ملحق می‌کند.
قابلیت‌های پایه این بدافزار مهاجمان را قادر به اجرای حملات DDoS، راه‌اندازی درب پشتی روی سامانه‌های آلوده، اجرای باج‌افزار، شنود ترافیک شبکه و اجرای ابزارهای استخراج‌کننده نظیر XMRig می‌کند.
بر اساس گزارشی که شرکت سیسکو ۱۳ خرداد آن را منتشر کرد گردانندگان FreakOut از اواخر اردیبهشت که فعالیت شبکه مخرب آن ناگهان افزایش‌یافته، در حال تکامل امکانات انتشار این بدافزار بوده‌اند.
از جمله این تغییرات می‌توان به برقراری ارتباطات متفاوت با سرور فرماندهی (C۲) و افزوده شدن قابلیت سوءاستفاده از آسیب‌پذیری‌هایی علاوه بر موارد پیشین اشاره کرد.
دستگاه‌های آلوده بهFreakOut ، دستگاه‌های دیگر را بر اساس نشانی‌هایی که به‌صورت تصادفی استخراج شده‌اند یا نشانی‌هایی که از سوی سرور فرماندهی در بستر IRC ارسال می‌شوند شناسایی می‌کنند.
به‌ازای هر IP استخراج شده، دستگاه آلوده تلاش می‌کند تا با به‌کارگیری یکی از اکسپلویت‌های خود یا اطلاعات اصالت‌سنجی SSH درج شده در کد بدافزار، به آن نفوذ کند. 

نمای کلی ربات Necro و عملکرد آن


نسخ اولیه FreakOut تنها آسیب‌پذیری‌های زیر را هدف قرار می‌دادند: 

  Lifearay – Liferay Portal – Java Unmarshalling via JSONWS RCE

    Laravel RCE (CVE-۲۰۲۱-۳۱۲۹)

    WebLogic RCE (CVE-۲۰۲۰-۱۴۸۸۲)

    TerraMaster TOS

    Laminas Project laminas-http before ۲,۱۴.۲, & Zend Framework ۳,۰.۰

اما در نسخ جدید موارد زیر نیز به این فهرست افزوده شده‌اند:

 VestaCP — VestaCP ۰,۹.۸ – ‘v_sftp_licence’ Command Injection

    ZeroShell ۳,۹.۰ — ‘cgi-bin/kerbynet’ Remote Root Command Injection

    SCO Openserver ۵,۰.۷ — ‘outputform’ Command Injection

    Genexis PLATINUM ۴۴۱۰ ۲,۱ P۴۴۱۰-V۲-۱.۲۸ — Remote Command Execution vulnerability

    OTRS ۶,۰.۱ — Remote Command Execution vulnerability

    VMWare vCenter — Remote Command Execution vulnerability

    Nrdh.php remote code execution

در فهرست بالا، آسیب‌پذیری CVE-۲۰۲۱-۲۱۹۷۲ در VMware vCenter بیش از سایر موارد جلب‌توجه می‌کند. این آسیب‌پذیری در اسفند ۱۳۹۹ وصله شد. اما بر اساس آمار سایت‌هایی همچون Shodan و BinaryEdge، هزاران سرور vCenter آسیب‌پذیر همچنان در بستر اینترنت قابل‌دسترس هستند.
پیش‌تر و در پی انتشار POC آن نیز گزارش‌هایی مبنی‌بر پویش انبوه سرورهای آسیب‌پذیر vCenter منتشر شده بود. برخی نهادها هم قبلاً در خصوص مورد سوءاستفاده قرارگرفتن CVE-۲۰۲۱-۲۱۹۷۲ توسط مهاجمان هشدار داده بودند.
در موارد متعددی در جریان حملات هدفمند باج‌افزاری آسیب‌پذیری‌های VMware تحت کنترل مهاجمان درآمده‌اند.
اعمال فوری وصله‌ها و به‌روزرسانی‌های امنیتی به‌تمامی راهبران توصیه می‌شود.
مشروح گزارش سیسکو در لینک زیر قابل مطالعه است:

https://blog.talosintelligence.com/۲۰۲۱/۰۶/necro-python-bot-adds-new-tricks.html

نشانه‌های آلودگی (IoC)

منبع:

https://www.bleepingcomputer.com/news/security/freakout-malware-worms-its-way-into-vulnerable-vmware-servers

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.