Blog

Le malware FreakOut infiltre les serveurs VMware vulnérables – Bien monter son serveur

Le 4 juin 2021 , mis à jour le 4 septembre 2021 - 5 minutes de lecture


Le malware FreakOut infiltre les serveurs VMware vulnérables

Un malware multiplateforme basé sur Python ciblant les appareils Windows et Linux a maintenant été mis à niveau pour accéder aux serveurs VMware vCenter exposés à Internet qui ne sont pas adaptés aux vulnérabilités d'exécution de code à distance.

Malware, appelé Flipper par les chercheurs de CheckPoint en janvier (également connu sous le nom de Necro et N3Cr0m0rPh), est un script Python voilé conçu pour éviter la détection à l'aide d'un moteur polymorphe et d'un kit racine en mode utilisateur qui masque les fichiers malveillants déposés sur les systèmes compromis.

FreakOut se propage en exploitant un large éventail de vulnérabilités de systèmes d'exploitation et d'applications et de mots de passe brutalement convaincants sur SSH, ajoutant les appareils infectés à un botnet IRC contrôlé par ses maîtres.

La fonctionnalité principale du logiciel malveillant permet aux opérateurs de lancer des attaques DDoS, de dérober des systèmes infectés, de renifler et de filtrer le trafic réseau et de déployer des mineurs XMRig pour casser les crypto-monnaies Monero.

Malware mis à niveau avec de nouveaux exploits

Comme les chercheurs de Cisco Talos l'ont partagé dans un rapport publié aujourd'hui, les développeurs de FreakOuts ont travaillé dur pour améliorer la propagation des logiciels malveillants depuis début mai, lorsque l'activité des botnets a soudainement augmenté.

"Bien que le bot ait été découvert à l'origine plus tôt cette année, l'activité récente montre un certain nombre de modifications apportées au bot, allant de différentes communications de commande et de contrôle (C2) à l'ajout de nouveaux exploits pour la prolifération, en particulier des vulnérabilités dans VMWare vSphere, SCO OpenServer, Panneau de configuration Vesta et exploits basés sur SMB qui n'étaient pas présents dans les répétitions précédentes du code », a déclaré Vanja Svajcer, chercheuse en sécurité de Cisco Talos.

Les robots FreakOut recherchent de nouveaux systèmes à cibler soit en générant de manière aléatoire des sites réseau, soit sur leurs commandes maîtres envoyées sur IRC via le serveur de commande et de contrôle.

Pour chaque adresse IP de la liste d'analyse, le bot essaiera d'utiliser l'un des utilitaires intégrés ou de se connecter à l'aide d'une liste codée en dur d'informations d'identification SSH.

Logiciels malveillants
Image : Cisco Talos

Alors que les premières versions de FreakOut ne pouvaient exploiter que les versions vulnérables des applications Web Lifearay, Laravel, WebLogic, TerraMaster et Zend Framework (Laminas Project), les dernières ont plus du double du nombre intégré.

Les exploits récemment ajoutés de variantes de logiciels malveillants observés par Cisco Talos en mai incluent :

Des milliers de serveurs VMware vulnérables aux attaques

La vulnérabilité VMware vCenter (CVE-2021-21972) est présente dans le plug-in vCenter pour vRealize Operations (vROps) et présente un intérêt particulier car elle affecte toutes les installations standard de vCenter Server.

Des milliers de serveurs vCenter non corrigés sont désormais disponibles via Internet, comme l'ont montré Shodan et BinaryEdge.

Les attaquants ont déjà recherché en masse des serveurs vCenter vulnérables exposés à Internet après que des chercheurs en sécurité aient publié un code d'exploitation de preuve de concept (PoC).

Les pirates de l'État du service de renseignement extérieur russe (SVR) ont également ajouté des exploits CVE-2021-21972 à leur arsenal en février et les ont activement exploités dans des campagnes en cours.

Les vulnérabilités de VMware ont également été exploitées dans le passé dans des attaques de réseau d'entreprise. Comme l'a révélé Cisco Talos, les opérateurs FreakOut ont également été considérés comme distribuant une charge de ransomware personnalisée qui montre qu'ils expérimentent activement de nouvelles charges utiles malveillantes.

Plusieurs gangs de ransomware, dont RansomExx, Babuk Locker et Darkside, exploits RCE de pré-authentification VMWare ESXi précédemment utilisés pour chiffrer les disques durs virtuels utilisés comme stockage d'entreprise centralisé.

"Le bot Necro Python montre un acteur qui suit les derniers développements en matière d'exploitation à distance de commandes sur diverses applications Web et inclut les nouveaux exploits dans le bot. Cela augmente les chances de propagation et d'infection des systèmes", a ajouté Svajcer.

"Les utilisateurs doivent s'assurer d'appliquer régulièrement les dernières mises à jour de sécurité à toutes les applications, pas seulement aux systèmes d'exploitation."