Android Geek
O maior site de Android em Português

Equipa de investigação da Check Point descobre novo malware que afecta Linux

 (NASDAQ: CHKP), fornecedor líder especializado em cibersegurança a nível global, descobriu uma nova campanha que explora os servidores Linux de forma a implementar um novo Backdoor com o intuito de invadir todos os fornecedores de segurança.

A equipa de investigação da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder especializado em cibersegurança a nível global, descobriu uma nova campanha que explora os servidores Linux de forma a implementar um novo Backdoor com o intuito de invadir todos os fornecedores de segurança. O novo Trojan, ao qual foi atribuído o nome “SpeakUp”, aproveita vulnerabilidades já conhecidas em seis diferentes distribuições de Linux. O ataque está a ganharmomentume a identificar os seus servidores-alvo na Ásia Oriental e América Latina, onde se inclui servidores hospedados em AWS.

Equipa de investigação da Check Point descobre novo malware que afecta Linux 1
 
O SpeakUp atua através da propagação interna entre a sub-rede infetada e através de novos endereços IP, aproveitando a execução de vulnerabilidades de código remoto. Para além disso, o SpeakUp apresenta capacidades para infetar dispositivos Mac sem deixar rasto.
 
Enquanto que a verdadeira identidade do ator por detrás deste novo ataque ainda não está confirmada, a equipa de investigação da Check Point conseguiu relacionar o autor do SpeakUp com o criador do malware Zettabit. Apesar do SpeakUp ter sido implementado de maneira diferente, existe muito em comum com a criação e desenho do já conhecido Zettabit.
 
Como funciona o SpeakUp?

O vetor inicial da infeção tem como objetivo a última vulnerabilidade conhecida em ThinkPHP e utiliza técnicas de injeção de comandos para carregar um interprete de comandos PHP, com o objetivo de executar um Backdoor Perl.
 
O processo consiste em 3 passos: aproveitar a vulnerabilidade CV-2018-20062 para carregar o interprete de comandos PHP, instalar o backdoor e, finalmente, executar o malware. Além disso o SpeakUp é capaz de monitorizar e infetar também os servidores Linux que se encontrem tanto nas sub redes internas como eternas. As princiais funções deste malware são: 

  1. Forçando o acesso através de uma lista pré-definida de utilizadores e passwords para tentar aceder aos painéis de administração.
  2. Monitorizar o ambiente da rede da máquina infectada; conferir a disponibilidade de portas específicas que partilhem o mesmo endereço de subrede interna e externa.
  3. Tentar explorar as várias vulnerabilidades de Execução de Código Remoto nos servidores anteriores.

A partir do momento em que o SpeakUp se regista com o C&C (Centro de Comandos e Controlo) são enviadas novas tarefas, a grande maioria centradas em descargar e executar diferentes documentos. Um dos pontos a destacar são diz respeito aos User-Agents que utilizam SpeakUp. Este malware utiliza três tipos diferentes, dois dos quais são MacOS, que o dispositivo infetado debe utilizar em toda a comunicação C&C. Atualmente, o SpeakUp utiliza mineradores XMRig nos servidores infetados e, segundo a XMRHunter, as carteiras electrónicas afetadas contam com um total de 107 moedas Monero, aproximandamente. 
 
Por outro lado, as cargas ofuscadas e a técnica de propagação do SpeakUp revelam que existe uma maior ameaça, escondida por detrás deste malware. Além disso torna-se difícil de acreditar que alguém possa chegar a construir um conjunto de cargas úteis tão complexo com o objetivo de instalar alguns mineiros de criptomoeda. Por isso, esse facto convida a pensar que a pessoa por de trás desta campanha pode, a qualquer momento, disseminar cargas úteis adicionais que sejam potencialmente mais intrusivas e ofensivas. Assim tem a capacidade de monitorizar a rede circundante de um servidor infectado e distribuir o malware. Portanto, ainda que esta ameaça seja relativamente recente, tem a capacidade de se converter em algo maior e potencialmente mais nocivo. 
 
A Check Point, conta com o Check Point IPs (Intrusion Prevention System), que combina a proteção IPS líder do setor, com um rendimento inovador a um custo inferior ao das soluções de software IPS tradicionais e independentes. A Check Point IPS oferece uma prevenção de ameaças completa e proativa, com as vantagens da implementação e gestão de uma solução firewall de próxima geração unificada e extensível. 
 
Para saber mais informação técnica e forma de atuação deste trojan, visite o artigo desenvolvido pela equipa de pesquisa da Check Point Software.

 

Partilha com os teus amigos!

Obrigado pela visita!

Este Website usa cookies para providenciar uma melhor experiência. Pode recusar se desejar. Aceitar Saber Mais

Partilha com os teus amigos!

Obrigado pela visita!
close-link