SIMonline © 2019

Работаем с interkassa Мы принимаем WebMoney
SIMonline - Virtual sim cards online
info: Доступна отправка SMS!

Троян SpeakUp угроза Linux серверу

Троян SpeakUp угроза Linux серверу


Исследователи полагают, что новый троян может стать катализатором предстоящего крупного кибер-наступления, вооруженного впечатляющим пакетом эксплойтов и других уловок для распространения.

Возьмите в аренду номера для приема смс и не безпокойтесь за личные даные на незащищенных сайтах.

ЛАС-ВЕГАС. Обнаружен бэкдор-троян под названием «SpeakUp», эксплуатирующий серверы Linux, которые управляют более чем 90 процентами из первого миллиона доменов в США. Он использует сложный пакет трюков для заражения хостов и распространения, что, по мнению аналитиков, может указывать на то, что он готов к серьезному наступлению с участием огромного числа зараженных хостов, возможно, по всему миру.

Согласно исследованию Check Point, опубликованному на мероприятии CPX360 в Лас-Вегасе, SpeakUp (так названный в честь своего домена управления и контроля, SpeakUpOmaha [точка] com) используется в кампании по криптомайнингу, которая набирает обороты и нацелена на более 70 000 серверов по всему миру, что может послужить основой для очень грозного ботнета.

SpeakUp нацелен на локальные серверы, а также на облачные машины, например, на хостинг Amazon Web Services; и это не останавливается на Linux: у него также есть возможность заражать устройства MacOS.

Одед Вануну, руководитель отдела исследований уязвимостей продуктов для Check Point, сообщил что в сферу этой атаки входят все серверы, на которых установлены ThinkPHP, Hadoop Yarn, Oracle WebLogic, Apache ActiveMQ и Red Hat JBoss. И, по его словам, поскольку это программное обеспечение может быть развернуто на виртуальных серверах, все облачные инфраструктуры также подвержены уязвимости.
Сам по себе троян может повлиять на все дистрибутивы Linux и MacOS.

Рутина инфекции
Первоначальный вектор заражения начинается с выявления недавно обнаруженной уязвимости RCE в ThinkPHP (CVE-2018-20062); код использует методы внедрения команд для загрузки оболочки PHP, которая обслуживает и выполняет бэкдор Perl.

Процедура в значительной степени запутана: с помощью запроса GET код эксплойта отправляется на целевой сервер. Полученная загруженная PHP-оболочка затем отправляет другой HTTP-запрос на целевой сервер со стандартной функцией внедрения, которая извлекает полезную нагрузку ibus и сохраняет ее. Выполнение полезной нагрузки запускается с помощью дополнительного HTTP-запроса. Это выполняет сценарий Perl, переводит его в спящий режим на две секунды и удаляет файл, чтобы удалить любые признаки заражения.

После регистрации компьютера-жертвы в C2 аналитики Check Point обнаружили, что SpeakUp постоянно запрашивает новые задачи с фиксированным интервалом каждые три секунды. C2 может сказать «нет задачи» - или он может сказать ему выполнить произвольный код на локальном компьютере, загрузить и выполнить файл с любого удаленного сервера, уничтожить или удалить программу или отправить обновленные данные.

«Прелесть в том, что субъект угрозы находится на любом зараженном сервере», - сказал Вануну. «Это означает, что он может адаптировать новые будущие уязвимости и развернуть новый код, который будет пытаться использовать в дальнейшем новые методы. Если субъект угрозы решит внедрить еще несколько методов заражения, количество ботов может легко увеличиться».

Кампания также будет немедленно масштабирована, так как субъект угрозы сможет загрузить вредоносное ПО на все зараженные хосты одновременно.

«Зараженные хосты проверяют наличие новых команд на сервере C2 каждые три минуты», - сказал Вануну.

«Актер угрозы [может также быть в состоянии] продать зараженные хосты любому субъекту угрозы и развернуть вредоносное ПО любого типа по самой высокой цене», - добавил он.

Очень сложное распространение
SpeakUp также оснащен удобным сценарием распространения, написанным на Python; его основными функциями являются административные панели, использующие грубое принуждение с использованием предварительно определенного списка имен пользователей и паролей; и сканирование сетевого окружения зараженной машины. Для последней функции он проверяет наличие определенных портов на серверах, которые используют одинаковую внутреннюю и внешнюю маску подсети. Идея состоит в том, чтобы сканировать и заражать более уязвимые серверы Linux во внутренней и внешней подсетях, используя полный набор эксплойтов.

Для распространения код распространения SpeakUp использует известные уязвимости в шести различных дистрибутивах Linux, включая уязвимости обхода безопасности JBoss Enterprise Application Platform (CVE-2012-0874); недостаток удаленного выполнения кода (RCE) JBoss Seam Framework (CVE-2010-1871); эксплойт JBoss AS 3/4/5/6 RCE; RCE Oracle WebLogic wls-wsat Компонент десериализации (CVE-2017-10271); уязвимость в компоненте Oracle WebLogic Server Oracle Fusion Middleware (CVE-2018-2894); эксплойт выполнения команды Hadoop YARN ResourceManager; и уязвимость RCE при загрузке файлов в Apache ActiveMQ Fileserver (CVE-2016-3088).

«Успешная эксплуатация одной из уязвимостей приведет к развертыванию оригинального сценария ibus на эксплуатируемом сервере», - говорится в анализе Check Point, добавившем, что он также способен заражать компьютеры Mac.

Большая ли угроза после заражения?
Прямо сейчас наблюдаемые загрузки файлов, которые отбрасывает бэкдор, являются простыми сценариями моно-майнинга. Тем не менее, авторы SpeakUp имеют возможность загружать любой код на серверы. Аналитики Check Point утверждают, что майнинг-код может стать своего рода бета-тестированием, намного опережающим появление вредоносного ПО.

«В настоящее время SpeakUp обслуживает майнеров XMRig для прослушивания зараженных серверов», - говорится в исследовании. Согласно XMRHunter, в кошельках сейчас хранится около 107 монет Монеро.

«Запутанная полезная нагрузка и техника распространения SpeakUp, вне всякого сомнения, является работой по созданию большей угрозы», - говорится в анализе. «Трудно представить, чтобы кто-нибудь создал такой сложный массив полезных нагрузок, чтобы развернуть несколько майнеров. Актер угрозы, стоящий за этой кампанией, может в любой момент развернуть дополнительные полезные нагрузки, потенциально более навязчивые и оскорбительные. У него есть возможность сканировать окружающую сеть зараженного сервера и распространять вредоносное ПО».

У SpeakUp нет обнаружений в VirusTotal.
Первые жертвы были в Восточной Азии и Латинской Америке, но исследователи полагают, что Россия и Украина так же могут стать целью, как и вся Европа. Учитывая впечатляющую тактику распространения, несуществующий уровень обнаружения в VirusTotal и тот факт, что поверхность угрозы содержит серверы, на которых работают самые популярные сайты в Интернете, SpeakUp может оказаться очень серьезной проблемой, считают исследователи: «Эта кампания, хотя он все еще относительно новый, он может превратиться в нечто большее и потенциально более вредное…».

Приписывание
Хотя точная личность субъекта угрозы, стоящего за этой новой атакой, до сих пор не подтверждена, очевидно, что это кто-то или группа людей с множеством вредоносных программ.

«Несмотря на то, что в настоящее время мы обнаружили полезную нагрузку для майнинга криптовалюты, наиболее заметным аспектом являются возможности распространения, продемонстрированные в коде», - сказал Вануну. «Мало того, что это было сильно запутано, разнообразие используемых подвигов может потенциально означать, что за нами стоит высококвалифицированный хакер».

Исследователи Check Point смогли связать автора SpeakUp с, возможно, русскоязычным разработчиком вредоносного ПО под именем Zettabit.

«Хотя SpeakUp реализован иначе [чем другой код Зеттабита], он имеет много общего с мастерством Зеттабита», - говорится в анализе.

С точки зрения того, что связывает Zettabit с этой вредоносной программой, «мы прочитали все его сообщения на Hack Forums и проекты Github, поэтому этот аватар определенно знает, как обходить бот-сети», - сказал Вануну в Threatpost. «Он даже выпустил бесплатный пример кода ботнета для всех желающих. И во время исследования мы определили две уникальные строки, которые упоминались и использовались самим Зеттабитом пару раз в прошлом».


2019-03-18 17:53:50


<<- Что такое атаки с манипуляцией данных и как с ними бороться?

Борьба с огнем: риски автоматизации API ->>