Hackere har udviklet en ny backdoor trojan, der er i stand til at køre på Linux-systemer. Opkaldt SpeakUp, denne malware er i øjeblikket distribueres til Linux-servere, der primært er placeret i Kina.
Hackere bag dette seneste bølge af angreb, er ved hjælp af en exploit til ThinkPHP ramme til at inficere servere med dette nye malware stamme.
Når den trojanske gevinster fodfæste på sårbare systemer, hackere kan bruge det til at ændre den lokale cron værktøj til at få boot vedholdenhed, kør shell-kommandoer, køre filer, der er downloadet fra en ekstern kommando og kontrol (C&C) server, og opdater eller afinstallere sig selv.
Check Point forskere, som opdagede denne nye bagdør for første gang for tre uger siden, 14 januar, siger SpeakUp også leveres med et indbygget Python-script, som den bruger til at sprede malware lateralt via det lokale netværk.
Dette script kan scanne lokale netværk for åbne porte, brute-force i nærheden systemer ved hjælp af en liste af foruddefinerede brugernavne og adgangskoder, og brug en af syv udnytter til at tage over unpatched-systemer. Denne liste af anden fase udnytter omfatter den holder af:
CVE-2012-0874: JBoss Enterprise Application Platform Flere Sikkerheds-Bypass VulnerabilitiesCVE-2010-1871: JBoss Søm Ramme remote code executionJBoss SOM 3/4/5/6: Ekstern Kommando ExecutionCVE-2017-10271: Oracle WebLogic wls-wsat Komponent Deserialization RCECVE-2018-2894: en Svaghed i Oracle WebLogic Server del af Oracle Fusion Middleware.Hadoop GARN ResourceManager – kommandoer
CVE-2016-3088: Apache Dette Fileserver Fil Upload Fjernkørsel af Programkode Sårbarhed.
Når det inficerer nye maskiner, SpeakUp udfolder sig til disse nye systemer. Check Point, siger SpeakUp kan køre på seks forskellige Linux-distributioner, og selv macOS systemer.
Gruppen bag dette seneste scanning og inficere kampagnen har været travlt med SpeakUp at implementere Monero cryptocurrency minearbejdere på inficerede servere. Check Point holdet, siger gruppen har lavet groft 107 Monero mønter siden starten af deres kampagne, der er omkring $4,500.
Mens SpeakUp forfattere er i øjeblikket ved at udnytte en sårbarhed (CVE-2018-20062) i en Kinesisk-kun ramme, de kan nemt skifte til en anden udnytter til at sprede deres bagdør til endnu en bredere vifte af mål, omend de ikke er blevet set, rettet mod noget, bortset fra ThinkPHP.
Et kort over nuværende infektioner viser, at SpeakUp ofrene er primært samlet i Asien og Sydamerika. Tale til ZDNet, Lotem Finkelstein, en af Check Point forskere fortalte os, at de infektioner i ikke-Kinesiske lande, kommer fra SpeakUp ved hjælp af sin anden fase af exploits til at inficere virksomhedernes interne netværk, hvilket resulterede i den trojanske spredning uden for den normale geografiske område, af en Kinesisk-kun PHP framework.
Billede: Check Point
Gruppen bag SpeakUp bagdør er den seneste trussel aktør, der er hoppet på den ThinkPHP udnyttelse vognen.
Scanninger og angreb mod websites og web apps, der er bygget på toppen af det Kinesiske PHP framework startede sidste år. I henhold til vores tidligere dækning, i første omgang, angribere kun puffede hjemmesider på udkig for sårbare hosts og afprøvning af proof-of-concept kode.
Disse scanninger flyttet til fuld-blæst udnyttelse i januar, som mange sikkerheds-eksperter forudså. Trend Micro rapporteret to hacker grupper, der bruger den samme ThinkPHP sårbarhed til at inficere Linux-servere med Hakai og Yowai IoT/DDoS-malware.
Akamai eksperter så også et andet sæt af angreb, med trussel aktører droppe web-shell bagdøre, cryptocurrency mining software, og endda Windows malware.
Gruppen bag SpeakUp malware synes at være den mest organiserede af alle trussel aktører i øjeblikket rettet mod den ThinkPHP økosystem.
Den fulde Check Point rapport, herunder indikatorer for kompromis (IOCs), er tilgængelige her.
Mere sikkerhed dækning:
Hackere går efter Cisco RV320/RV325 routere ved hjælp af en ny exploitDOJ bevæger sig for at tage ned Joanap botnet, der drives af nordkoreanske statslige hackersPolice er nu rettet mod tidligere WebStresser DDoS-for-hire usersJapanese regering har planer om at bryde ind i borgernes enheder, tingenes internet
IoT-botnet bruges i YouTube ad svig schemeOver 485,000 Ubiquiti enheder sårbare over for nye attackCalifornia guvernør tegn landets første tingenes internet security law CNET
5 trin til en ny tingenes internet support strategi, TechRepublic
Relaterede Emner:
Linux
Sikkerhed-TV
Data Management
CXO
Datacentre