Pesquisadores de segurança descobrem novo backdoor do Linux chamado SpeakUp

Os hackers desenvolveram um novo trojan de backdoor capaz de rodar em sistemas Linux. Denominado SpeakUp, este malware é atualmente distribuído para servidores Linux localizados principalmente na China.

Os hackers por trás dessa recente onda de ataques estão usando uma exploração da estrutura ThinkPHP para infectar servidores com essa nova cepa de malware.

Uma vez que o trojan adquire uma posição segura em sistemas vulneráveis, os hackers podem usá-lo para modificar o utilitário cron local para obter persistência de boot, executar comandos shell, executar arquivos baixados de um comando e controle remoto e atualizar ou desinstalar.

Os pesquisadores da Check Point, que identificaram esse novo backdoor pela primeira vez há três semanas, em 14 de janeiro, dizem que o SpeakUp também vem com um script Python que o malware usa para se espalhar lateralmente pela rede local.

Esse script pode varrer redes locais em busca de portas abertas, sistemas próximos de força bruta usando uma lista de nomes de usuário e senhas predefinidos e usar um dos sete exploits para assumir sistemas sem patches. Esta lista de explorações do segundo estágio inclui os gostos de:

  • CVE-2012-0874: Vulnerabilidades de Bypass Múltiplo de Segurança da Plataforma do Aplicativo JBoss Enterprise
  • CVE-2010-1871: Execução remota de código do JBoss Seam Framework
  • JBoss AS 3/4/5/6: Execução de Comando Remoto
  • CVE-2017-10271: Desserialização de Componentes do Oracle WebLogic wls-wsat RCE
  • CVE-2018-2894: Vulnerabilidade no componente Oracle WebLogic Server do Oracle Fusion Middleware.
  • ResourceManager do Hadoop YARN – Execução de Comando
  • CVE-2016-3088: Vulnerabilidade de execução remota de código de upload de arquivos do servidor de arquivos Apache ActiveMQ.

Uma vez que infecta novas máquinas, o SpeakUp se implanta nesses novos sistemas. A Check Point diz que o SpeakUp pode rodar em seis distribuições Linux diferentes e até mesmo em sistemas macOS.

O grupo por trás dessa recente campanha de varredura e infecção tem ocupado o uso do SpeakUp para implantar farm de criptomoedas do Monero em servidores infectados. A equipe da Check Point diz que o grupo fez aproximadamente 107 moedas Monero desde o início de sua campanha, que é de cerca de US $ 4.500.

Enquanto os autores do SpeakUp estão atualmente explorando uma vulnerabilidade (CVE-2018-20062) em uma estrutura PHP somente em chinês, eles podem facilmente mudar para qualquer outra exploração para espalhar sua backdoor até mesmo para um conjunto mais amplo de alvos, embora eles não tenham sido visto visando qualquer coisa, exceto o ThinkPHP.

Um mapa das infecções atuais mostra que as vítimas do SpeakUp são principalmente acumuladas na Ásia e na América do Sul. Lotem Finkelstein, um dos pesquisadores da Check Point, disse que as infecções em países não-chineses vêm do SpeakUp usando suas explorações de segunda etapa para infectar as redes internas das empresas, o que resultou no trojan se espalhando para fora da área geográfica normal. um framework PHP somente chinês.

Mapa de infecção SpeakUp
De Stock: Ponto de verificação

O grupo por trás do backdoor SpeakUp é o mais recente ator de ameaças que saltou no movimento de exploração ThinkPHP.

Varreduras e ataques direcionados a sites e aplicativos da Web criados no topo deste framework PHP chinês começaram no ano passado. De acordo com a nossa cobertura anterior , inicialmente, os invasores apenas estimulavam sites que procuravam hosts vulneráveis ​​e testavam o código de prova de conceito.

Essas varreduras entraram em exploração total em janeiro, como muitos especialistas em segurança previram. A Trend Micro relatou dois grupos de hackers usando a mesma vulnerabilidade do ThinkPHP para infectar servidores Linux com o malware Hakai e Yowai IoT / DDoS.

Os especialistas da Akamai também viram um conjunto diferente de ataques, com os agentes de ameaças removendo backdoors do shell da web, software de mineração com criptomoedas e até mesmo malware do Windows.

O grupo por trás do malware SpeakUp parece ser o mais organizado de todos os agentes de ameaças que atualmente têm como alvo o ecossistema ThinkPHP.

O relatório completo da Check Point, incluindo os indicadores de comprometimento (IOCs), está disponível aqui .

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.