A equipa de investigação da Check Point, empresa dedicada à cibersegurança, descobriu uma nova campanha que explora os servidores Linux de forma a implementar um novo backdoor com o intuito de invadir todos os fornecedores de segurança.
O novo trojan, ao qual foi atribuído o nome “SpeakUp”, aproveita vulnerabilidades já conhecidas em seis diferentes distribuições de Linux. “O ataque está a ganhar momentum e a identificar os seus servidores-alvo na Ásia Oriental e América Latina, incluindo servidores hospedados em AWS”, diz a empresa.
O SpeakUp actua através da propagação interna entre a sub-rede infectada e através de novos endereços IP, aproveitando a execução de vulnerabilidades de código remoto. Para além disso, o SpeakUp apresenta capacidades para infectar dispositivos Mac sem deixar rasto, diz a Check Point.
Enquanto que a verdadeira identidade do actor por detrás deste novo ataque ainda não está confirmada, a equipa de investigação da Check Point conseguiu relacionar o autor do SpeakUp com o criador do malware Zettabit. Apesar do SpeakUp ter sido implementado de maneira diferente, existe muito em comum com a criação e desenho do já conhecido Zettabit.
Como funciona o SpeakUp?
O vector inicial da infeção tem como objectivo a última vulnerabilidade conhecida em ThinkPHP e utiliza técnicas de injecção de comandos para carregar um interprete de comandos PHP, com o objetivo de executar um Backdoor Perl.
O processo consiste em três passos: aproveitar a vulnerabilidade CV-2018-20062 para carregar o interprete de comandos PHP, instalar o backdoor e, finalmente, executar o malware. Além disso o SpeakUp é capaz de monitorizar e infectar também os servidores Linux que se encontrem tanto nas sub redes internas como eternas. As princiais funções deste malware são:
- Forçando o acesso através de uma lista pré-definida de utilizadores e passwords para tentar aceder aos painéis de administração.
- Monitorizar o ambiente da rede da máquina infectada; conferir a disponibilidade de portas específicas que partilhem o mesmo endereço de subrede interna e externa.
- Tentar explorar as várias vulnerabilidades de Execução de Código Remoto nos servidores anteriores.