Android Geek
O maior site de Android em Português

Equipa de investigação da Check Point descobre novo malware que afecta Linux

 (NASDAQ: CHKP), fornecedor líder especializado em cibersegurança a nível global, descobriu uma nova campanha que explora os servidores Linux de forma a implementar um novo Backdoor com o intuito de invadir todos os fornecedores de segurança.

A equipa de investigação da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder especializado em cibersegurança a nível global, descobriu uma nova campanha que explora os servidores Linux de forma a implementar um novo Backdoor com o intuito de invadir todos os fornecedores de segurança. O novo Trojan, ao qual foi atribuído o nome “SpeakUp”, aproveita vulnerabilidades já conhecidas em seis diferentes distribuições de Linux. O ataque está a ganharmomentume a identificar os seus servidores-alvo na Ásia Oriental e América Latina, onde se inclui servidores hospedados em AWS.

Equipa de investigação da Check Point descobre novo malware que afecta Linux 1
 
O SpeakUp atua através da propagação interna entre a sub-rede infetada e através de novos endereços IP, aproveitando a execução de vulnerabilidades de código remoto. Para além disso, o SpeakUp apresenta capacidades para infetar dispositivos Mac sem deixar rasto.
 
Enquanto que a verdadeira identidade do ator por detrás deste novo ataque ainda não está confirmada, a equipa de investigação da Check Point conseguiu relacionar o autor do SpeakUp com o criador do malware Zettabit. Apesar do SpeakUp ter sido implementado de maneira diferente, existe muito em comum com a criação e desenho do já conhecido Zettabit.
 
Como funciona o SpeakUp?

O vetor inicial da infeção tem como objetivo a última vulnerabilidade conhecida em ThinkPHP e utiliza técnicas de injeção de comandos para carregar um interprete de comandos PHP, com o objetivo de executar um Backdoor Perl.
 
O processo consiste em 3 passos: aproveitar a vulnerabilidade CV-2018-20062 para carregar o interprete de comandos PHP, instalar o backdoor e, finalmente, executar o malware. Além disso o SpeakUp é capaz de monitorizar e infetar também os servidores Linux que se encontrem tanto nas sub redes internas como eternas. As princiais funções deste malware são: 

  1. Forçando o acesso através de uma lista pré-definida de utilizadores e passwords para tentar aceder aos painéis de administração.
  2. Monitorizar o ambiente da rede da máquina infectada; conferir a disponibilidade de portas específicas que partilhem o mesmo endereço de subrede interna e externa.
  3. Tentar explorar as várias vulnerabilidades de Execução de Código Remoto nos servidores anteriores.

A partir do momento em que o SpeakUp se regista com o C&C (Centro de Comandos e Controlo) são enviadas novas tarefas, a grande maioria centradas em descargar e executar diferentes documentos. Um dos pontos a destacar são diz respeito aos User-Agents que utilizam SpeakUp. Este malware utiliza três tipos diferentes, dois dos quais são MacOS, que o dispositivo infetado debe utilizar em toda a comunicação C&C. Atualmente, o SpeakUp utiliza mineradores XMRig nos servidores infetados e, segundo a XMRHunter, as carteiras electrónicas afetadas contam com um total de 107 moedas Monero, aproximandamente. 
 
Por outro lado, as cargas ofuscadas e a técnica de propagação do SpeakUp revelam que existe uma maior ameaça, escondida por detrás deste malware. Além disso torna-se difícil de acreditar que alguém possa chegar a construir um conjunto de cargas úteis tão complexo com o objetivo de instalar alguns mineiros de criptomoeda. Por isso, esse facto convida a pensar que a pessoa por de trás desta campanha pode, a qualquer momento, disseminar cargas úteis adicionais que sejam potencialmente mais intrusivas e ofensivas. Assim tem a capacidade de monitorizar a rede circundante de um servidor infectado e distribuir o malware. Portanto, ainda que esta ameaça seja relativamente recente, tem a capacidade de se converter em algo maior e potencialmente mais nocivo. 
 
A Check Point, conta com o Check Point IPs (Intrusion Prevention System), que combina a proteção IPS líder do setor, com um rendimento inovador a um custo inferior ao das soluções de software IPS tradicionais e independentes. A Check Point IPS oferece uma prevenção de ameaças completa e proativa, com as vantagens da implementação e gestão de uma solução firewall de próxima geração unificada e extensível. 
 
Para saber mais informação técnica e forma de atuação deste trojan, visite o artigo desenvolvido pela equipa de pesquisa da Check Point Software.

 

Este Website usa cookies para providenciar uma melhor experiência. Pode recusar se desejar. Aceitar Saber Mais