FreakOut 僵尸网络将 DVR 变成门罗币挖矿机 – Threatpost

威胁组织 FreakOut 的 Necro 僵尸网络开发了一个新技巧：用 Monero 矿工感染 Visual Tools DVR。

瞻博网络威胁实验室研究人员发布了一份报告，详细说明 FreakOut 的新活动，也称为 Necro Python 和 Python.IRCBot。 9 月下旬，该团队注意到僵尸网络开始针对 Visual Tools DVR VX16 4.2.28.0 模型进行挖矿攻击。 这些设备通常作为专业质量监控系统的一部分进行部署。

一种 命令注入漏洞 去年 7 月在相同的设备中被发现。 Visual Tools 尚未回应 Threatpost 的评论请求。

“该脚本可以在 Windows 和 Linux 环境中运行，”瞻博网络报告称。 “该脚本拥有自己的多态引擎，可以在每次执行时自行变形，从而绕过基于签名的防御。 这是通过读取其代码中的每个字符串并使用硬编码密钥对其进行加密来实现的。”

FreakOut 已经 自从在现场 至少在 1 月，利用最近发现和未修补的漏洞来启动分布式拒绝服务 (DDoS) 和 挖矿攻击. Juniper 报告说，威胁行为者已经开发了 Necro bot 的几次迭代，在过去几个月中其性能和持久性得到了稳步改进。

报告称：“我们注意到这个机器人与以前的版本相比有一些变化。” “首先，它删除了在 2021 年 5 月的攻击中观察到的 SMB 扫描程序。 其次，它更改了注入到受感染系统上的脚本文件的 URL。”

新的 DGA 功能有助于逃避检测

该团队解释说，更新版本的 Necro bot 不再依赖硬编码 URL 来实现域生成算法 (DGA)，以增加持久性。

新的漏洞利用尚未完全 评估 CVE，根据 NIST，但 概念证明 可通过漏洞利用数据库获得。

首先，Necro bot 扫描目标端口： [22, 80, 443, 8081, 8081, 7001]. 如果检测到，它将启动一个 XMRig – 这是一个高性能的门罗币 (XMR) 矿工 – 与这个钱包相关联：

[45iHeQwQaunWXryL9YZ2egJxKvWBtWQUE4PKitu1VwYNUqkhHt6nyCTQb2dbvDRqDPXveNq94DG9uTndKcWLYNoG2uonhgH]

该团队补充说，该机器人还在积极尝试利用这些先前发现的漏洞：

• CVE-2020-15568 – 4.1.29 之前的 TerraMaster TOS
• CVE-2021-2900 – 创世纪白金 4410 2.1 P4410-V2-1.28
• CVE-2020-25494 – Xinuos（原 SCO）Openserver v5 和 v6
• CVE-2020-28188 – TerraMaster TOS <= 4.2.06
• CVE-2019-12725 – Zeroshell 3.9.0

瞻博网络威胁实验室负责人 Mounir Hahad 告诉 Threatpost，安全团队需要能够处理 DGA 域尝试的安全性。

“这种僵尸网络的存在凸显了对连接安全方法的需求，其中网络上的 DNS 安全功能可识别与公共动态 DNS 服务背后的 DGA 域的连接尝试，以及能够立即将受感染的主机与网络的其余部分隔离，”Hahad 说。
查看我们的免费 即将到来的现场直播和点播在线市政厅 – 与网络安全专家和 Threatpost 社区进行独特、动态的讨论。