Das Research Team von Check Point [1] hat nach eigenen Angaben bisher 185 infizierte Systeme erkannt. Darüber hinaus habe das Security-Unternehmen weltweit bereits über 380 dieser Angriffe verhindert – 13 davon in Deutschland. Am heftigsten unter Beschuss stehe derzeit Amerika – knapp 27 Prozent aller Attacken zielten auf US-Systeme. Verantwortlich für die Welle soll ein altbekannter Hacker sein, der unter Pseudonymen wie Fl0urite und Freak agiert.

Die Infektionskette beginnt laut den Sicherheitsforschern mit der Installation von Malware über die Ausnutzung von drei Sicherheitslücken: CVE-2020-28188, CVE-2021-3007 und CVE-2020-7961. Anschließend lädt der Angreifer ein Python-Skript auf die kompromittierten Geräte hoch und führt es aus. Nun installiert er XMRig, einen bekannten Kryptowährungs-Miner und bewegt sich anschließend lateral durch das Netzwerk. Hat der Angreifer das System erfolgreich infiziert, kann er Port-Scans durchführen, Informationen sammeln, das Netzwerk durchsuchen oder einen DDoS-Angriff starten, um das System lahmzulegen. Betroffen sind laut Check Point die folgenden Linux-Frameworks:

• TerraMaster TOS (TerraMaster Operating System), ein bekannter Anbieter von Datenspeichergeräten.
• Zend Framework, eine beliebte Sammlung von Bibliothekspaketen, die für die Erstellung von Webanwendungen verwendet werden.
• Liferay Portal, ein freies und quelloffenes Unternehmensportal, mit Funktionen zur Entwicklung von Webportalen und Websites.

jm

[1] https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/