Nowy niewykrywalny Backdoor Trojan na Linuksa

Zespół Check Point Research wykrył nową kampanię wykorzystującą serwery oparte na Linuksie w celu zaszczepienia nowego trojana. SpeakUp wykorzystuje znane luki w sześciu różnych dystrybucjach Linuksa, a atak kierowany jest na serwery na całym świecie, w tym na Amazon Web Services.

Naukowcy z Check Point odkryli nową kampanię wykorzystującą serwery Linux do wszczepienia nowego backdoora, który omija wszystkich dostawców zabezpieczeń. Nowy trojan, nazwany "SpeakUp" po jednej z jego nazw command&control, wykorzystuje znane luki w sześciu różnych dystrybucjach Linuksa.

SpeakUp działa wewnętrznie, w zainfekowanej podsieci, a także poza nią, wykorzystując luki w zabezpieczeniach do zdalnego uruchamiania kodu. Ponadto SpeakUp zaprezentował możliwość infekowania urządzeń Mac z niewykrytym backdoorem. Jak wykazują eksperci, trojan ten dostarcza aktualnie XMRig Miner i jest rozprzestrzeniany przez serię exploitów opartych na komendach otrzymywanych z centrum kontroli (control center). Do tej pory zainfekował głównie komputery w Azji Wschodniej i Ameryce Łacińskiej, w tym niektóre serwery hostowane przez AWS.

 Podczas gdy dokładna tożsamość hakera stojącego za tymi atakiem, wciąż pozostaje niepotwierdzona, badacze Check Pointa byli w stanie powiązać autora SpeakUp z deweloperem szkodliwego oprogramowania pod nazwą Zettabit. Mimo że SpeakUp jest implementowany inaczej, ma wiele wspólnego z dotychczasowymi działaniami Zettabit.

Rysunek 1:Dystrybucja SpeakUp

Wykres 1:Szybkość rozprzestrzeniania się SpeakUp

Początkowy wektor infekcji nakierowany był na niedawno zgłoszoną lukę w ThinkPHP.Próbka, którą przeanalizował Check Point, została zaobserwowana na komputerze w Chinach 14 stycznia 2019 roku i została po raz pierwszy przesłana do VirusTotal w dniu 9 stycznia 2019 roku.