Hackers hebben een nieuwe backdoor trojan die is in staat om draait op Linux systemen. De naam SpeakUp, deze malware wordt momenteel verspreid onder Linux servers, voornamelijk in China.
De hackers achter deze recente golf van aanvallen met behulp van een exploit voor de ThinkPHP kader te infecteren servers met deze nieuwe malware stam.
Zodra de trojan krijgt een voet aan de grond op kwetsbare systemen, hackers kunnen gebruiken om te wijzigen van de lokale cron utility te krijgen boot persistentie, uitvoeren van shell-commando ‘ s, het uitvoeren van gedownloade bestanden van een externe command and control (C&C) server, en te updaten of te verwijderen zelf.
Check Point onderzoekers, degenen die gespot deze nieuwe backdoor voor de eerste keer drie weken geleden, op 14 januari, zeggen SpeakUp wordt ook geleverd met een ingebouwde Python-script dat de malware gebruikt voor het verspreiden van de zijkant door het lokale netwerk.
Dit script kan scannen lokale netwerken voor het openen van de poorten, brute-force in de buurt systemen met behulp van een lijst met vooraf gedefinieerde gebruikersnamen en wachtwoorden, en gebruik een van de zeven exploits over te nemen van niet gecorrigeerde systemen. Deze lijst van de tweede fase exploits houdt van:
CVE-2012-0874: JBoss Enterprise Application Platform Meerdere Omzeilen van de Beveiliging VulnerabilitiesCVE-2010-1871: JBoss Seam Kader van externe code executionJBoss ALS 3/4/5/6: Externe Opdracht ExecutionCVE-2017-10271: Oracle WebLogic wls-wsat Onderdeel Deserialisatie RCECVE-2018-2894: Beveiligingsprobleem in de Oracle WebLogic Server onderdeel van de Oracle Fusion Middleware.Hadoop GAREN Er – de Uitvoering van de Opdracht
CVE-2016-3088: Apache ActiveMQ Fileserver Bestand Uploaden tot Uitvoering van Externe Code Kwetsbaarheid.
Zodra het infecteert nieuwe machines, SpeakUp zet zich aan deze nieuwe systemen. Check Point zegt SpeakUp kan worden uitgevoerd op zes verschillende Linux distributies en zelfs mac os-systemen.
De groep achter deze recente scan-en infecteren campagne is druk bezig geweest met SpeakUp te implementeren Monero cryptocurrency mijnwerkers op geïnfecteerde servers. De Check Point team zegt de groep heeft ongeveer 107 Monero munten sinds de start van hun campagne, dat is rond de $4,500.
Terwijl de SpeakUp auteurs zijn momenteel gebruik te maken van een kwetsbaarheid (CVE-2018-20062) in een Chinees-alleen PHP framework, kunnen ze gemakkelijk over te schakelen naar een andere exploits die de verspreiding van hun backdoor om nog een breder scala van doelen, hoewel ze nog niet gezien targeting alles behalve ThinkPHP.
Een kaart van de huidige besmettingen blijkt dat SpeakUp slachtoffers zijn voornamelijk opgebouwd in Azië en Zuid-Amerika. Spreekt ZDNet, Lotem Finkelstein, een van de Check Point onderzoekers vertelde ons dat de infecties bij niet-Chinese landen is afkomstig van SpeakUp met de tweede fase van de exploits te infecteren bedrijven’ interne netwerken, wat resulteerde in de trojan verspreidt buiten de normale geografische gebied van een Chinees-alleen PHP framework.
Afbeelding: Check Point
De groep achter de SpeakUp backdoor is de nieuwste bedreiging acteur die heeft sprong op de ThinkPHP exploitatie bandwagon.
Scans en aanvallen op websites en web apps gebouwd op de top van deze Chinese PHP framework vorig jaar is begonnen. Volgens onze eerdere berichtgeving, in eerste instantie, aanvallers alleen geprikt websites op zoek naar kwetsbare hosts en het testen van proof-of-concept code.
Die scans verplaatst in regelrechte uitbuiting in januari, veel security experts voorspeld. Trend Micro gerapporteerd twee hacker groepen met dezelfde ThinkPHP kwetsbaarheid te infecteren Linux servers met de Hakai en Yowai IoT/DDoS-malware.
Akamai experts zag ook een andere set van aanvallen, met bedreiging van actoren vallen web shell achterdeuren, cryptocurrency mining software, en zelfs Windows-malware.
De groep achter de SpeakUp malware lijkt het meest georganiseerd van alle dreigingen momenteel gericht op de ThinkPHP ecosysteem.
Het volledige Check Point verslag, met inbegrip van indicatoren van het compromis (IOCs), is hier beschikbaar.
Meer zekerheid:
Hackers gaan na Cisco RV320/RV325 routers met behulp van een nieuwe exploitDOJ beweegt naar beneden te nemen Joanap botnet wordt geëxploiteerd door de Noord-koreaanse staat hackersPolice zijn nu gericht op voormalige WebStresser DDoS-voor-het huren van usersJapanese regering is van plan om hack in burgers’ IoT apparaten
IoT botnet gebruikt in de YouTube ad fraude schemeOver 485,000 Ubiquiti apparaten kwetsbaar zijn voor nieuwe attackCalifornia gouverneur tekenen land de eerste IoT veiligheid wet CNET
5 stappen naar een nieuwe IoT ondersteuning van de strategie van TechRepublic
Verwante Onderwerpen:
Linux
Beveiliging TV
Data Management
CXO
Datacenters