Detetado malware dirigido a servidores Linux

A Check Point Research descobriu uma nova campanha de malware que explora os servidores Linux para implementar um Backdoor Trojan

Detetado malware dirigido a servidores Linux

Apelidado de “SpeakUp”, o novo Trojan explora vulnerabilidades em seis diferentes distribuições de Linux e tem como target os servidores de todo o mundo, incluindo as AWS hosted machines. 

O SpeakUp atua através da propagação interna entre a sub-rede infetada e através de novos endereços IP, aproveitando a execução de vulnerabilidades de código remoto. Além disso, o SpeakUp apresenta capacidades para infetar dispositivos Mac sem deixar rasto.

A verdadeira identidade do ator por detrás deste novo ataque ainda não está confirmada, no entanto, a equipa de investigação da Check Point conseguiu relacionar o autor do SpeakUp com o criador do malware Zettabit. Apesar do SpeakUp ter sido implementado de maneira diferente, existe muito em comum com a criação e desenho do já conhecido Zettabit.

O vetor inicial da infeção tem como objetivo a última vulnerabilidade conhecida em ThinkPHP e utiliza técnicas de injeção de comandos para carregar um interprete de comandos PHP, com o objetivo de executar um Backdoor Perl.

O processo consiste em três passos: aproveitar a vulnerabilidade CV-2018-20062 para carregar o interprete de comandos PHP, instalar o backdoor e, finalmente, executar o malware. 

A partir do momento em que o SpeakUp se regista com o C&C (Centro de Comandos e Controlo) são enviadas novas tarefas, a grande maioria centradas em fazer o download e executar diferentes documentos. Um dos pontos a destacar diz respeito aos User-Agents que utilizam SpeakUp. Este malware utiliza três tipos diferentes, dois dos quais são MacOS, que o dispositivo infetado debe utilizar em toda a comunicação C&C. Atualmente, o SpeakUp utiliza mineradores XMRig nos servidores infetados e, segundo a XMRHunter, as carteiras eletrónicas afetadas contam com um total de 107 moedas Monero, aproximandamente. 

Por outro lado, as cargas ofuscadas e a técnica de propagação do SpeakUp revelam que existe uma maior ameaça, escondida por detrás deste malware. Além disso torna-se difícil de acreditar que alguém possa chegar a construir um conjunto de cargas úteis tão complexo com o objetivo de instalar alguns mineiros de criptomoeda. Por isso, esse facto convida a pensar que a pessoa por de trás desta campanha pode, a qualquer momento, disseminar cargas úteis adicionais que sejam potencialmente mais intrusivas e ofensivas. 

Assim tem a capacidade de monitorizar a rede circundante de um servidor infectado e distribuir o malware. Portanto, ainda que esta ameaça seja relativamente recente, tem a capacidade de se converter em algo maior e potencialmente mais nocivo. 

Tags
Notícias relacionadas

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 17 Janeiro 2019

IT INSIGHT Nº 17 Janeiro 2019

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.