Equipa de investigação da Check Point descobre novo malware que afecta Linux - Wintech

A equipa de investigação da Check Point® Software Technologies Ltd., fornecedor líder especializado em cibersegurança a nível global, descobriu uma nova campanha que explora os servidores Linux de forma a implementar um novo Backdoor com o intuito de invadir todos os fornecedores de segurança. O novo Trojan, ao qual foi atribuído o nome “SpeakUp”, aproveita vulnerabilidades já conhecidas em seis diferentes distribuições de Linux. O ataque está a ganhar momentum e a identificar os seus servidores-alvo na Ásia Oriental e América Latina, incluindo servidores hospedados em AWS.

O SpeakUp atua através da propagação interna entre a sub-rede infetada e através de novos endereços IP, aproveitando a execução de vulnerabilidades de código remoto. Para além disso, o SpeakUp apresenta capacidades para infetar dispositivos Mac sem deixar rasto. 

Enquanto que a verdadeira identidade do ator por detrás deste novo ataque ainda não está confirmada, a equipa de investigação da Check Point conseguiu relacionar o autor do SpeakUp com o criador do malware Zettabit. Apesar do SpeakUp ter sido implementado de maneira diferente, existe muito em comum com a criação e desenho do já conhecido Zettabit.

Como funciona o SpeakUp?

O vetor inicial da infeção tem como objetivo a última vulnerabilidade conhecida em ThinkPHP e utiliza técnicas de injeção de comandos para carregar um interprete de comandos PHP, com o objetivo de executar um Backdoor Perl.

O processo consiste em 3 passos: aproveitar a vulnerabilidade CV-2018-20062 para carregar o interprete de comandos PHP, instalar o backdoor e, finalmente, executar o malware. Além disso o SpeakUp é capaz de monitorizar e infetar também os servidores Linux que se encontrem tanto nas sub redes internas como eternas. As princiais funções deste malware são:

  1. Forçando o acesso através de uma lista pré-definida de utilizadores e passwords para tentar aceder aos painéis de administração.
  2. Monitorizar o ambiente da rede da máquina infetada; conferir a disponibilidade de portas específicas que partilhem o mesmo endereço de subrede interna e externa.
  3. Tentar explorar as várias vulnerabilidades de Execução de Código Remoto nos servidores anteriores.

A partir do momento em que o SpeakUp se regista com o C&C (Centro de Comandos e Controlo) são enviadas novas tarefas, a grande maioria centradas em descargar e executar diferentes documentos. Um dos pontos a destacar são diz respeito aos User-Agents que utilizam SpeakUp. Este malware utiliza três tipos diferentes, dois dos quais são MacOS, que o dispositivo infetado debe utilizar em toda a comunicação C&C. Atualmente, o SpeakUp utiliza mineradores XMRig nos servidores infetados e, segundo a XMRHunter, as carteiras eletrónicas afetadas contam com um total de 107 moedas Monero, aproximandamente.

Por outro lado, as cargas ofuscadas e a técnica de propagação do SpeakUp revelam que existe uma maior ameaça, escondida por detrás deste malware. Além disso torna-se difícil de acreditar que alguém possa chegar a construir um conjunto de cargas úteis tão complexo com o objetivo de instalar alguns mineiros de criptomoeda. Por isso, esse facto convida a pensar que a pessoa por de trás desta campanha pode, a qualquer momento, disseminar cargas úteis adicionais que sejam potencialmente mais intrusivas e ofensivas. Assim tem a capacidade de monitorizar a rede circundante de um servidor infectado e distribuir o malware. Portanto, ainda que esta ameaça seja relativamente recente, tem a capacidade de se converter em algo maior e potencialmente mais nocivo.

A Check Point, conta com o Check Point IPs (Intrusion Prevention System), que combina a proteção IPS líder do setor, com um rendimento inovador a um custo inferior ao das soluções de software IPS tradicionais e independentes. A Check Point IPS oferece uma prevenção de ameaças completa e proativa, com as vantagens da implementação e gestão de uma solução firewall de próxima geração unificada e extensivel.

Para saber mais informação técnica e forma de atuação deste trojan, visite o artigo desenvolvido pela equipa de pesquisa da Check Point Software em https://research.checkpoint.com/speakup-a-new-undetected-backdoor-linux-trojan/.

Classifique este item
(0 votos)
Ler 109 vezes
Tagged em

Sobre nós

Nascida em 2002, a Wintech é uma pagina web que reúne informações sobre tecnologia. Apresenta regularmente guias, análises, reportagens e artigos especiais de tudo o que rodeia o mundo tecnológico. Saiba mais.

Wintech TV

Newsletter

Receba as notícias no seu e-mail

Top