Ботнет FreakOut атакує цифрові магнітофони систем відеоспостереження VisualTools, використовуючи експлойт, відомий з середини літа. Вразливість, яку він експлуатує, до цих пір не отримала індексу CVE.
Відеонекромантія
Ботнет FreakOut, також відомий як Necro і N3Cr0m0rPh, націлився на цифрові магнітофони Visual Tools DVR, що використовуються в системах відеоспостереження.
Експерти Juniper Threat Labs виявили, що ботнет почав використовувати експериментальний експлойт до уразливості в VTDVX16 4.2.28.0 для підвантаження в ці пристрої криптомайнерів Monero.
Ботнет FreakOut / Necro з’явився на радарах експертів з безпеки в листопаді 2020 року. Спочатку він створювався для DDoS-атак і кримінального майнингу криптовалют. Згодом його функціональність помітно розширилася. Він може встановлювати руткіт у Windows, маскувати свою інфраструктуру за допомогою алгоритму генерації доменних імен, поширюватися за допомогою експлойтів або брутфорса, а також заражати файли HTML, JS, PHP. З недавніх версій пропав SMB-сканер, який використовували ще навесні 2021 року, а статична адреса контрольного сервера змінилася на динамічну.
Ботнет почав майнити криптовалюту на цифрових магнітофонах
Основний скрипт ботнету написаний на Python і спрацьовує під Windows і Linux. Ботнет прицільно сканує порти 22, 80, 443, 8081, 7001, і якщо вони доступні, він розгортає атаку.
Старий експлойт
Крім DVRVisualTools, поточна версія FreakOut здатна атакувати цілий ряд різних пристроїв, використовуючи експлойти до таких вразливостей, як CVE-2020-15568 (в TerraMasterTOS до версії 4.1.29), CVE-2021-2900 (зачіпає GenexisPlatinum 4410 2.1 P4410-V2-1.28), CVE-2020-25494 (зачіпає XinuosOpenserverv5 andv6), CVE-2020-28188 (в TerraMasterTOS до версії 4.2.06 включно) і CVE-2019-12725 (зустрічається в Zeroshell 3.9.0).
Уразливості в VisualToolsDVR поки не присвоєно. Експлойт до неї, втім, доступний з липня 2021 р. і саме ним зловмисники і користуються.
У червні 2021 р. експерти відзначили використання ботнетом Python-версій експлойтів EternalBlue (CVE-2017-0144) і EternalRomance (БМУ-2018-0147).
Крім того, ця версія ботнету здатна влаштовувати DDoS-атаки, використовуючи проксі TORSOCKS. Також на атаковані пристрої встановлюється генератор криптовалют Monero.
«Цифрові відеомагнітофони – досить цікава мішень для творців ботнетів інтернету речей, – заявляють експерти з інформаційної безпеки компанії. – Вони непогано підходять і для кримінального майнінгу криптовалют, і для запуску DDoS-атак, оскільки досить часто з ними використовується канал зв’язку з великою пропускною здатністю. І, як і багато інших пристроїв інтернету речей, DVR нерідко відчувають проблеми з захищеністю і оновленням прошивок, так що з ними працюють і досить старі експлойти. Це і спостерігається в даному випадку».