Gli hacker hanno sviluppato un nuovo trojan backdoor che è in grado di funzionare su sistemi Linux. Nome SpeakUp, questo malware è attualmente distribuito di server Linux, situate principalmente in Cina.
Gli hacker dietro questa recente ondata di attacchi utilizzando un exploit per il ThinkPHP quadro di infettare server con questo nuovo malware ceppo.
Una volta che il trojan guadagni un punto d’appoggio nei sistemi vulnerabili, gli hacker possono utilizzare per modificare il cron locale di utilità per ottenere l’avvio di persistenza, eseguire comandi di shell, eseguire i file scaricati da una remota di comando e controllo (C&C) server, aggiornare o disinstallare.
Check Point ricercatori, quelli che hanno notato questa nuova backdoor per la prima volta tre settimane fa, il 14 gennaio, dire SpeakUp, inoltre, viene fornito con un built-in e script Python che il malware utilizza per diffondere lateralmente attraverso la rete locale.
Questo script può eseguire la scansione di reti locali per aprire le porte, di forza bruta nelle vicinanze sistemi che utilizzano una lista di pre-definito di nomi utente e password, e utilizzare uno dei sette exploit di prendere in consegna i sistemi non aggiornati. Questo elenco di seconda fase exploit include artisti del calibro di:
CVE-2012-0874: JBoss Enterprise Application Platform di Sicurezza Multipli di Bypass VulnerabilitiesCVE-2010-1871: JBoss Seam Quadro di codice remoto executionJBoss COME 3/4/5/6: Comando Remoto ExecutionCVE-2017-10271: Oracle WebLogic wls-wsat Componente Deserializzazione RCECVE-2018-2894: una Vulnerabilità in Oracle WebLogic Server componente di Oracle Fusion Middleware.Hadoop FILATO ResourceManager – Esecuzione di un Comando
CVE-2016-3088: Apache ActiveMQ Fileserver Caricamento di File di Vulnerabilità Esecuzione di Codice Remoto.
Una volta che infetta nuove macchine, SpeakUp si dispiega a questi nuovi sistemi. Check Point dice SpeakUp può essere eseguito su sei diverse distribuzioni di Linux e anche sistemi macOS.
Il gruppo dietro questa recente di scansione-e-infettare campagna è stato occupato utilizzando SpeakUp per distribuire Monero cryptocurrency minatori infetti server. Il Check Point di squadra, dice che il gruppo ha fatto circa 107 Monero monete fin dall’inizio della loro campagna, che è di circa $4,500.
Mentre il SpeakUp autori sono attualmente sfruttando una vulnerabilità (CVE-2018-20062) in un Cinese solo framework PHP, si può facilmente passare a qualsiasi altro exploit per diffondere la loro segreta anche a una più ampia gamma di obiettivi, anche se non ha visto il targeting per nulla tranne che per ThinkPHP.
Una mappa di infezioni attuali dimostra che SpeakUp vittime sono principalmente accumulato in Asia e Sud America. Parlando di ZDNet, Lotem Finkelstein, uno dei Check Point ricercatori ci ha detto che le infezioni non-Cinesi paesi viene da SpeakUp utilizzando la sua seconda fase di exploit per infettare interno delle aziende network, che ha portato il trojan diffondere al di fuori della normale area geografica di un Cinese solo framework PHP.
Immagine: Check Point
Il gruppo dietro il SpeakUp backdoor è l’ultima minaccia attore che ha saltato sul ThinkPHP sfruttamento carro.
Scansioni e attacchi che puntano a siti web e applicazioni web costruito sulla cima di questo Cinese framework PHP iniziato l’anno scorso. Secondo la nostra precedente copertura, inizialmente, attaccanti solo spronato siti web, alla ricerca di host vulnerabili e test di proof-of-concept di codice.
Quelle scansioni spostato in piena regola lo sfruttamento nel mese di gennaio, come molti esperti di sicurezza previsto. Trend Micro ha segnalato due gruppi di hacker che utilizza la stessa ThinkPHP vulnerabilità di infettare server Linux con il Hakai e Yowai IoT/DDoS malware.
Akamai esperti visto anche un diverso set di attacchi, con la minaccia attori cadere shell web backdoor, cryptocurrency software di estrazione, e anche malware di Windows.
Il gruppo dietro il SpeakUp malware sembra essere la più organizzata di tutte le minacce attori attualmente destinati ai ThinkPHP ecosistema.
Il full Check Point report, inclusi gli indicatori di compromesso (Ioc), è disponibile qui.
Più copertura di sicurezza:
Gli hacker stanno andando dopo di Cisco RV320/RV325 router utilizzando un nuovo exploitDOJ si muove per prendere giù Joanap botnet operati da stato della corea del Nord hackersPolice ora prendono di mira l’ex WebStresser DDoS-per-noleggio usersJapanese i piani del governo per hackerare i cittadini dispositivi IoT
IoT botnet utilizzato in YouTube annuncio di frode schemeOver 485,000 Ubiquiti dispositivi vulnerabili a nuovi attackCalifornia governatore segni del paese prima IoT legge sicurezza CNET
5 passi per un nuovo IoT strategia di sostegno TechRepublic
Argomenti Correlati:
Linux
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati