Hackare har utvecklat en ny bakdörr trojan som kan köras på Linux-system. Heter Pratande, denna malware är för närvarande distribueras till Linux-servrar främst finns i Kina.
Hackare bakom denna senaste våg av attacker är med en exploit för ThinkPHP ram för att infektera servrar med denna nya malware stam.
När trojan får fotfäste på sårbara system, hackare kan använda den till att ändra den lokala cron-verktyg för att få starta uthållighet, köra skalkommandon, utföra filer som laddats ner från en remote command and control (C&C) server, och uppdatera eller avinstallera sig själv.
Check Point forskare, de som såg detta nya bakdörr för första gången för tre veckor sedan, den 14 januari, säger SpeakUp också kommer med en inbyggd Python-skript som malware använder för att sprida sidled genom det lokala nätverket.
Detta skript kan skanna lokala nätverk för att öppna portar, brute-force i närheten system med hjälp av en lista över fördefinierade användarnamn och lösenord, och använd en av sju utnyttjar för att ta över unpatched system. Denna lista över andra steget utnyttjar inkluderar gillar:
CVE-2012-0874: JBoss Enterprise Application Platform Flera Säkerhet Bypass VulnerabilitiesCVE-2010-1871: JBoss Seam Ramen fjärrkörning av kod executionJBoss SOM 3/4/5/6: fjärrkommando ExecutionCVE-2017-10271: Oracle WebLogic wls-wsat Komponent Avserialisering RCECVE-2018-2894: Säkerhetsproblem i Oracle WebLogic Server del av Oracle Fusion Middleware.Hadoop GARN Resurshanteraren – kommandon
CVE-2016-3088: Apache ActiveMQ Fileserver Ladda upp Fil Fjärrkörning av Kod.
När det infekterar nya maskiner, SpeakUp ställer sig till dessa nya system. Check Point säger SpeakUp kan köras på sex olika Linux-distributioner och även macOS-system.
Gruppen bakom denna nya scan-och-smitta kampanj har varit upptagen med SpeakUp att distribuera Monero cryptocurrency gruvarbetare på infekterade servrar. Check Point team säger att den gruppen har gjort ungefär 107 Monero mynt sedan början av sin kampanj, som är runt $4,500.
Medan SpeakUp författarna är för närvarande att utnyttja en sårbarhet (CVE-2018-20062) i en Kinesisk-endast PHP ramverk, de kan enkelt byta till någon annan utnyttjar för att sprida sin bakdörr att även ett bredare spektrum av mål, även om de inte har sett inriktning på vad som helst utom ThinkPHP.
En karta över aktuella infektioner visar att SpeakUp offren är främst samlat i Asien och Sydamerika. Sett till ZDNet Lotem Finkelstein, en av Check Point forskare berättade infektioner i icke-Kinesiska länder kommer från Pratande med sitt andra skede utnyttjar för att infektera företagens interna nätverk, vilket resulterade i att trojanen sprider sig utanför det normala geografiska område i en Kinesisk-endast PHP-ramverk.
Bild: Check Point
Gruppen bakom SpeakUp bakdörr är det senaste hotet aktör som har hoppat på ThinkPHP utnyttjande tåget.
Skannar och attacker mot webbplatser och appar som byggdes på toppen av det Kinesiska PHP ramverk började förra året. Enligt våra tidigare täckning, inledningsvis, att angriparna bara stack webbplatser söker utsatta värdar och testa proof-of-concept-kod.
De skannar flyttade in i full-blown exploatering i januari, som många experter på säkerhet förutsägas. Trend Micro rapporterade två hacker grupper som använder samma ThinkPHP sårbarhet för att infektera Linux-servrar med Hakai och Yowai IoT/DDoS-malware.
Akamai experter såg också en annan uppsättning av attacker, hot aktörer släppa web skal bakdörrar, cryptocurrency gruv-program, och även Windows malware.
Gruppen bakom SpeakUp malware verkar vara den mest organiserade av alla hot aktörer för närvarande riktar ThinkPHP ekosystem.
Full Check Point rapport, inklusive indikatorer för kompromiss (IOCs), finns här.
Mer trygghet:
Hackare kommer efter Cisco RV320/RV325 routrar med en ny exploitDOJ rör sig för att ta ner Joanap botnät som drivs av den nordkoreanska staten hackersPolice riktar nu tidigare WebStresser DDoS-för-hyra usersJapanese regeringens planer på att hacka sig in i medborgarnas IoT enheter
Sakernas internet botnät används i YouTube annons bedrägeri schemeOver 485,000 Ubiquiti enheter som är känsliga för ny attackCalifornia guvernör tecken landets första sakernas internet security law CNET
5 steg till en ny sakernas internet som stöd strategi TechRepublic
Relaterade Ämnen:
Linux
Säkerhet-TV
Hantering Av Data
CXO
Datacenter