​ТРОЯН SPEAKUP УСТАНАВЛИВАЕТ БЭКДОР НА LINUX-СЕРВЕРЫ

• 👥 🏨 Исследователи из компании CheckPoint рассказали об атаках нового трояна, получившего название SpeakUp. Зловред эксплуатирует уязвимость во фреймворке ThinkPHP, а также другие бреши, чтобы установить бэкдор на Linux-серверы и внедрить в систему майнер криптовалюты. Программа поддерживает связь с командным сервером по зашифрованному каналу и способна доставлять на инфицированные компьютеры любую полезную нагрузку.

• 🌏По словам ИБ-специалистов, новый штамм ориентирован в первую очередь на хосты в Юго-Восточной Азии и Латинской Америке, включая системы, работающие в составе облачного сервиса AWS.

• ⚠️ В качестве первоначального вектора заражения аналитики называют уязвимость во фреймворке ThinkPHP, которая позволяет удаленно выполнить сторонний код на устройстве. Эксплуатируя брешь, SpeakUp разворачивает в системе собственную PHP-оболочку и запускает скрипт, написанный на Perl.

• ⚙️🔬Исследователи отмечают, что для дальнейшего распространения зловред сканирует сеть в поисках открытых портов и пытается заразить другие устройства, используя перебор по словарю, а также известные баги Linux-платформ:
Уязвимости CVE-2017-10271 и CVE-2018-2894 в Oracle WebLogic
Бреши CVE-2012-0874 и CVE-2010-1871 в JBoss Enterprise Application Platform и JBoss Seam Framework
Ошибку CVE-2016-3088, присутствующую в Apache ActiveMQ Fileserver
RCE-эксплойты для JBoss и Hadoop YARN ResourceManager
Проникнув на целевой хост, зловред разворачивает бэкдор и удаляет следы вторжения — файлы оболочки и Perl-скрипта.

• 🌀 Как утверждают ИБ-специалисты, на момент проведения исследования SpeakUp не обнаруживал ни один из 59 антивирусных сканеров, используемых сайтом VirusTotal. Эксперты отмечают, что злоумышленники шифруют все загружаемые модули трояна, а также его дальнейший обмен информацией с командным сервером при помощи алгоритма base64 и используют соль, чтобы усложнить несанкционированный перехват трафика.

• ✅ После установки соединения с центром управления зловред регистрирует на нем компьютер жертвы и получает полезную нагрузку — генератор криптовалюты Monero XMRig. По словам аналитиков, троян способен получать с командного сервера и выполнять в инфицированной системе любые файлы при помощи процедуры newtask. Дополнительно зловред может загружать настройки для майнера, чтобы при необходимости сменить целевой кошелек. В данный момент на аккаунте злоумышленников хранится 107 токенов Monero, что на момент публикации эквивалентно $4,6 тыс.


@SingleSecurity 🛡