Serwery z Linuxem zagrożone. Trojan SpeakUp atakuje 6 dystrybucji
W sieci działa właśnie kampania rozprowadzająca trojan nazwany SpeakUp, otwierający atakującym drogę do systemu. Kampania wycelowana jest w serwery z sześcioma różnymi dystrybucjami Linuxa, ale może zaatakować także system macOS bez udziału użytkownika. Atak wykorzystuje serię znanych luk bezpieczeństwa i pozostaje niezauważony przez różne programy ochronne.
Według specjalistów z Check Point SpeakUp wykorzystuje luki obecne na serwerach, na których działa około 90 proc. z miliona najczęściej odwiedzanych domen ze Stanów Zjednoczonych. W chwili pisania artykułu był obecny głównie w Azji Wschodniej i Ameryce Łacińskiej, gdzie zaatakował ponad 70 tys. serwerów, w tym instancje w chmurze AWS Amazonu. Kampania ma zasięg ogólnoświatowy i USA to kolejny logiczny cel.
Początkowym wektorem ataku jest luka CVE-2018-20062, dająca możliwość zdalnego wykonania kodu PHP. W ten sposób umieszczali na serwerach malutki shell PHP, który służył jako wejście dla skryptów w Perlu na podatnych maszynach. Następnie atakujący wykorzystywali wstrzyknięcie kodu przez polecenie GET z parametrem module, by wysłać komendę sterującą do wiersza poleceń. Kolejnym krokiem jest zapisanie skryptu wejściowego w folderze tymczasowym pod niewiele mówiącą nazwą /tmp/e3ac24a0bcddfacd010a6c10f4a814bc. Skrypt zostaje natychmiast uruchomiony szkodliwym zapytaniem HTTP, uruchamia backdoor i kasuje podejrzany plik. Wszystko trwa kilka sekund, a ślady ataku trudno znaleźć.
Natychmiast po uruchomieniu furtki centrala jest informowana o nowym zainfekowanym systemie. Komunikacja z serwerem Command & Controll jest zaszyfrowana z solą i kodowana base64. C&C wymaga także, by prośby o kolejne polecenia były wysyłane w postaci hashowanego ciągu znaków w przypadku Linuxa i dwóch różnych aplikacji klienckich w nagłówku (User Agent) z macOS-a. Zainfekowany system cyklicznie zgłasza się do C&C po nowe polecenia. Może to być wykonanie nowego kodu, uśpienie lub zmiana konfiguracji. SpeakUp może także atakować inne maszyny w tej samej sieci i zabezpieczyć się przed wyłączeniem z ponownym uruchomieniem systemu, korzystając z harmonogramu systemowego. W chwili publikacji analizy trojan był wykorzystywany do uruchamiania koparek XMRig z portfelem Monero. Check Point oszacował, że cyberprzestępcy zarobili na tym ponad 4,5 tys. dolarów. To kolejny dowód na to, że możliwości trojanów rosną.
Próbka atakującego malware została przekazana specjalistom z Check Point 14 stycznia, ale wciąż nie jest wykrywany przez większość programów zabezpieczających, w tym VirusTotal. Specjaliści z Check Point przypuszczają, że autorem jest znany już Zettabit. Tempo infekcji znacznie wzrosło z końcem stycznia.
