Pertama kali terlihat pada November 2020, botnet FreakOut telah muncul lagi dalam serangkaian serangan baru pada bulan ini, menurut peneliti keamanan Check Point dalam sebuah laporan yang diterbitkan.
Targetnya saat ini termasuk unit penyimpanan data TerraMaster, aplikasi web yang dibangun di atas Zend PHP Framework, dan situs web yang menjalankan sistem manajemen konten Liferay Portal.
Check Point mengatakan operator FreakOut memindai internet secara massal untuk aplikasi itu dan kemudian mengeksploitasi tiga kerentanan untuk mendapatkan kendali atas sistem Linux yang mendasarinya.
Ketiga kerentanan tersebut (CVE-2020-28188, CVE-2021-3007, dan CVE-2020-7961) cukup baru, yang berarti ada kemungkinan besar bahwa upaya eksploitasi botnet FreakOut berhasil karena banyak sistem masih belum menerapkan perbaikan.
Setelah bot FreakOut mendapatkan akses ke sistem, langkah berikutnya adalah mengunduh dan menjalankan skrip Python yang menghubungkan perangkat terinfeksi ke saluran IRC jarak jauh di mana penyerang dapat mengirim perintah dan mengatur daftar serangan yang bervariasi.
Check Point berpendapat bahwa fungsi-fungsi dari FreakOut ini dapat dikombinasikan untuk melakukan berbagai operasi, seperti meluncurkan serangan DDoS, menginstal penambang cryptocurrency, mengubah bot yang terinfeksi menjadi jaringan proxy, atau meluncurkan serangan pada jaringan internal perangkat yang terinfeksi.
Namun, saat ini, Check Point mengatakan botnet tampaknya masih dalam tahap awal. Para peneliti mengatakan mereka dapat melakukan reverse engineering malware tersebut dan kemudian mengakses saluran IRC yang digunakan operator untuk mengontrol seluruh botnet.
Statistik yang ditampilkan di panel IRC menunjukkan botnet hanya mengendalikan sekitar 180 sistem yang terinfeksi, tetapi angka sebelumnya menunjukkan itu hanya memuncak pada sekitar 300.
Keduanya adalah angka rendah untuk botnet tetapi lebih dari cukup untuk meluncurkan serangan DDoS yang sangat mumpuni.
Baca Juga: “Botnet HEH Baru Ini Bisa Menghapus Data Router dan Perangkat IoT“
Lebih lanjutnya lagi, Check Point mengatakan bahwa mereka juga menemukan beberapa petunjuk dalam kode malware yang memungkinkannya melacak penciptanya, seseorang yang online dengan nama panggilan Freak.
Beberapa peneliti kemudian mengatakan mereka dapat menautkan nama panggilan ini ke akronim peretas lawas dari Fl0urite, pencipta N3Cr0m0rPh yang sekarang sudah tidak berfungsi, jenis malware botnet serupa yang dijual di forum underground.
