Le malware FreakOut se faufile dans les serveurs VMware vulnérables

0

Un malware multiplateforme ciblant les appareils Windows et Linux a maintenant été mis à niveau pour se faufiler dans les serveurs VMware vCenter exposés à Internet et vulnérables à une faille d’exécution de code à distance.

Le malware, baptisé FreakOut par les chercheurs de CheckPoint en Janvier (aussi connu sous les noms de Necro et N3Cr0m0rPh), est un script Python obscurci conçu pour échapper à la détection à l’aide d’un moteur polymorphe et d’un rootkit en mode utilisateur qui masque les fichiers malveillants déposés sur les systèmes compromis.

FreakOut se propage en exploitant un large éventail de vulnérabilités de systèmes d’exploitation et d’applications et de bourrage de mots de passe sur SSH, ajoutant les appareils infectés à un botnet IRC contrôlé par ses maîtres.

La fonctionnalité de base du malware permet aux opérateurs de lancer des attaques DDoS, de créer des portes dérobées sur les systèmes infectés, de renifler et d’exfiltrer le trafic réseau, et de déployer des mineurs XMRig pour extraire la crypto-monnaie Monero.

FreakOut a été mis à niveau avec de nouveaux exploits

Comme les chercheurs de Cisco Talos l’ont partagé dans un rapport, les développeurs de FreakOut ont travaillé dur pour améliorer les capacités de propagation du malware depuis début mai, lorsque l’activité du botnet a soudainement augmenté.

« Bien que le bot ait été découvert à l’origine plus tôt cette année, la dernière activité montre de nombreux changements au bot, allant de différentes communications de commande et de contrôle (C2) à l’ajout de nouveaux exploits pour la propagation, notamment des vulnérabilités dans VMWare vSphere, SCO OpenServer, le panneau de configuration Vesta et des exploits basés sur SMB qui n’étaient pas présents dans les précédentes itérations du code », a déclaré Vanja Svajcer, chercheuse en sécurité chez Cisco Talos.

Les bots de FreakOut recherchent de nouveaux systèmes à cibler soit en générant de manière aléatoire des plages de réseau, soit sur les commandes de ses maîtres envoyées sur IRC via le serveur de commande et de contrôle.

Pour chaque adresse IP de la liste d’analyse, le bot FreakOut essaiera d’utiliser l’un des exploits intégrés ou de se connecter à l’aide d’une liste codée en dur d’informations d’identification SSH.

FreakOut
Image: Cisco Talos

Alors que les premières versions de FreakOut ne pouvaient exploiter que les versions vulnérables des applications Web Lifearay, Laravel, WebLogic, TerraMaster et Zend Framework (Laminas Project), les dernières ont plus du double du nombre d’exploits intégrés.

Les exploits récemment ajoutés aux variantes de logiciels malveillants observés par Cisco Talos en Mai incluent :

Des milliers de serveurs VMware exposés aux attaques

La vulnérabilité de VMware vCenter (CVE-2021-21972) est présente dans le plugin vCenter pour vRealize Operations (vROps) et est particulièrement intéressante car elle impacte toutes les installations par défaut de vCenter Server.

Des milliers de serveurs vCenter non corrigés sont actuellement accessibles via Internet, comme le montrent Shodan et BinaryEdge.

Les attaquants ont précédemment scanné en masse les serveurs vCenter vulnérables exposés sur Internet après que des chercheurs en sécurité aient publié un code d’exploitation de preuve de concept.

Les pirates du Service russe de renseignement extérieur (SVR) ont également ajouté des exploits de CVE-2021-21972 à leur arsenal en Février, les exploitant activement dans des campagnes en cours.

Les vulnérabilités de VMware ont également été exploitées dans le passé dans des attaques de ransomware ciblant les réseaux d’entreprise. Comme Cisco Talos l’a révélé, les opérateurs de FreakOut ont également été observés en train de déployer une souche de ransomware personnalisée montrant qu’ils expérimentent activement de nouvelles charges utiles malveillantes.

Plusieurs gangs de ransomware, y compris RansomExx, Babuk Locker et Darkside, utilisaient auparavant des exploits d’exécution de code à distance de pré-authentification dans VMWare ESXi pour chiffrer les disques durs virtuels utilisés comme espace de stockage d’entreprise centralisé.

« Le bot Necro Python montre un acteur qui suit les derniers développements en matière d’exploits d’exécution de commandes à distance sur diverses applications Web et inclut les nouveaux exploits dans le bot. Cela augmente ses chances de propagation et d’infection des systèmes », a ajouté Svajcer.

« Les utilisateurs doivent s’assurer d’appliquer régulièrement les dernières mises à jour de sécurité à toutes les applications, pas seulement aux systèmes d’exploitation. »

Laisser un commentaire