Inicio » Investigadores de seguridad descubren una nueva puerta trasera de Linux llamada SpeakUp
CIBERSEGURIDAD

Investigadores de seguridad descubren una nueva puerta trasera de Linux llamada SpeakUp

Troyano de Linux Speakup

Los hackers han desarrollado un nuevo troyano de puerta trasera que es capaz de ejecutarse en sistemas Linux. Con el nombre de SpeakUp, este malware se distribuye actualmente a servidores Linux ubicados principalmente en China.

Una vez que el troyano se consolida en sistemas vulnerables, los piratas informáticos pueden usarlo para modificar la utilidad cron local para obtener persistencia de inicio, ejecutar comandos de shell, ejecutar archivos descargados desde un servidor de control y control remoto (C&C) y actualizarse o desinstalarse.

Los investigadores de Check Point, los que vieron esta nueva puerta trasera por primera vez hace tres semanas, el 14 de enero, dicen que SpeakUp también viene con un script Python incorporado que el malware utiliza para propagarse lateralmente a través de la red local.

Esta secuencia de comandos puede escanear redes locales en busca de puertos abiertos, sistemas cercanos de fuerza bruta utilizando una lista de nombres de usuario y contraseñas predefinidos, y usar una de las siete vulnerabilidades para controlar sistemas no parcheados.Esta lista de exploits de segunda etapa incluye los siguientes:

  • CVE-2012-0874: Varias vulnerabilidades de omisión de seguridad en la plataforma de aplicaciones empresariales JBoss
  • CVE-2010-1871: Ejecución remota de código de JBoss Seam Framework
  • JBoss AS 3/4/5/6: Ejecución remota de comandos
  • CVE-2017-10271: RCE de deserialización de componentes wls-wsat de Oracle WebLogic
  • CVE-2018-2894: Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware.
  • Hadoop YARN ResourceManager – Ejecución de comandos
  • CVE-2016-3088: Vulnerabilidad de ejecución remota de código en la carga de archivos de Apache ActiveMQ Fileserver.

Una vez que infecta nuevas máquinas, SpeakUp se implementa en estos nuevos sistemas. Check Point dice que SpeakUp puede ejecutarse en seis distribuciones diferentes de Linux e incluso en sistemas macOS.

El grupo detrás de esta reciente campaña de escanear e infectar ha estado ocupado usando SpeakUp para implementar los mineros de criptomoneda Monero en los servidores infectados. El equipo de Check Point dice que el grupo ha ganado aproximadamente 107 monedas de Monero desde el inicio de su campaña, que es de alrededor de $ 4,500.

LEA TAMBIEN  Malware de Linux que escapa de la detección antivirus

Si bien los autores de SpeakUp actualmente están explotando una vulnerabilidad (CVE-2018-20062) en un marco PHP solo para chinos, pueden cambiar fácilmente a cualquier otra vulnerabilidad para expandir su puerta trasera incluso a una gama más amplia de objetivos, aunque no hayan sido visto apuntando a cualquier cosa excepto ThinkPHP.

Un mapa de infecciones actuales muestra que las víctimas de SpeakUp se acumulan principalmente en Asia y América del Sur. Hablando con ZDNet , Lotem Finkelstein, uno de los investigadores de Check Point, nos dijo que las infecciones en los países no chinos provienen de SpeakUp que utiliza sus explotaciones de segunda etapa para infectar las redes internas de las empresas, lo que provocó que el troyano se extendiera fuera del área geográfica normal. Un framework PHP solo para chinos.

Mapa de infección de SpeakUp
De archivo: Check Point

El grupo detrás de la puerta trasera SpeakUp es el último actor de amenazas que se ha subido al carro de explotación de ThinkPHP.

Las exploraciones y ataques dirigidos a sitios web y aplicaciones web construidas sobre este marco PHP chino comenzaron el año pasado. De acuerdo con nuestra cobertura anterior , inicialmente, los atacantes solo utilizaban sitios web en busca de hosts vulnerables y probaban códigos de prueba de concepto.

Esos análisis se trasladaron a la explotación en toda regla en enero, como predijeron muchos expertos en seguridad. Trend Micro informó que dos grupos de hackers utilizan la misma vulnerabilidad ThinkPHP para infectar servidores Linux con el malware Hakai y Yowai IoT / DDoS.

Los expertos de Akamai también vieron un conjunto diferente de ataques, con actores de amenazas que eliminaron las puertas traseras del shell web, el software de minería de criptomonedas e incluso el malware de Windows.

El grupo detrás del malware SpeakUp parece ser el más organizado de todos los actores de amenazas que actualmente se dirigen al ecosistema ThinkPHP.

El informe completo de Check Point, incluidos los indicadores de compromiso (IOC), está disponible aquí .