Бэкдор SpeakUp угрожает пользователям Linux и MacOS

Рекомендуем почитать:

Xakep #238. Забытый Android

• Содержание выпуска
• Подписка на «Хакер»

Исследователи компании Check Point обнаружили нового бэкдор-трояна SpeakUp. Атака набирает обороты и нацелена на серверы в Восточной Азии и Латинской Америке, включая машины, размещенные на AWS. Эксперты подчеркивают, что малварь может представлять опасность для шести дистрибутивов Linux, а также для устройств на macOS.

Распространение новой угрозы связано с использованием уязвимости во фреймворке ThinkPHP (CVE-2018-20062), обнаруженной в декабре 2018 года, для которой уже тогда был представлен PoC-эксплоит. Напомню, что данный баг активно применяют злоумышленники, например, ИБ-специалисты уже замечали, что с его помощью преступники пополняют ряды ботнетов Yowai и Hakai.

Теперь уязвимость в ThinkPHP используется для распространения SpeakUp. После того как троян проник в систему, он может использоваться для работы с cron и достижения устойчивого присутствия на устройстве, исполнения shell-команд, исполнения произвольных файлов, загруженных с удаленного управляющего сервера, обновления или уничтожения самого себя.

Первые атаки с применением SpeakUp были зафиксированы 14 января 2019 года, и эксперты отмечают, что малварь поставляется вместе со встроенным Python-скриптом, который используется для распространения заражения в локальной сети. Скрипт сканирует локальную сеть и ищет открытые порты, брутфорсит «соседние» системы, используя заранее подготовленный список логинов и паролей, а затем пытается применить против них один из семи эксплоитов:

• CVE-2012-0874 (JBoss Enterprise Application Platform);
• CVE-2010-1871 (JBoss Seam Framework);
• CVE-2017-10271 (Oracle WebLogic wls-wsat);
• CVE-2018-2894 (Oracle Fusion Middleware);
• CVE-2016-3088 (Apache ActiveMQ Fileserver);
• RCE-уязвимость в JBoss AS 3/4/5/6;
• баг, связанный с выполнением команд в Hadoop YARN.

По данным специалистов, в настоящее время хак-группа, использующая SpeakUp, применяет бэкдор для установки майнинговой малвари на зараженные серверы. Таким способом хакеры добывают криптовалюту Monero, и на их счету уже около 107 XMR, то есть порядка 45 000 долларов США по текущему курсу. При этом, учитывая сложность бэкдора, исследователи опасаются, что ПО для добычи криптовалюты – это лишь временное решение, и на самом деле операторы SpeakUp могут готовить что-то более серьезное.

Личность хакера, ответственного за новую атаку, не подтверждена, однако исследователи Check Point связывают автора SpeakUp с вирусописателем, известным под ником Zettabit. Хотя SpeakUp реализован по-другому, по мнению специалистов, он имеет много общего с «почерком» Zettabit.

Источник