بک دور جدید با نام SpeakUP لینوکس و مک را هدف قرار میدهد

یک آلودگی جدید در حال پخش یک تروجان بک دور جدید به نام SpeakUp میباشد که در حال حاضر سرور های مختلفی از لینوکس و مک را با سو استفاده از چند رخنه ی امنیتی شناسایی شده انجام میدهد این اقدام توام با اجتناب از برخورد با راهکار های امنیتی و آنتی ویورس در فرایند آلوده سازی میباشد.

SpeakUp Trojan

تروجان های بک دور آلودگی هایی هستند که قادر هستند به هکران دسترسی به سیستم های در معرض خطر را بدهند و امکان کنترل سیستم های آلوده از طریق سرور های C&C را میدهند.

در اکثر موارد، این گونه از آلودگی به هکران اجازه میدهد که کنترل بسیار بالایی بر روی سیستم های آلوده داشته باشند. در بیشتر مواقع دسترسی کامل.

طبق یافته های محققان امنیتی، این پویش آلودگی به سرور های لینوکس با استفاده از از کد CVE-2018-20062 حمله ور میشود. این کد یک فرمان اجرایی ریموت به نام THINKPHP میباشد که به عنوان یک وکتور آلوده ی داخلی عمل میکند.

برای آپلود یک PHP shell بر روی ماشین های لینوکس آسیب پذیر که حالت فایل اجرایی یک بک دور را دارد. مهاجمین از تکنیک های تزریق فرمان و کامند برای ارسال فرمان های شِل از طریق یک پارامتر درخواستی استفاده میکنند:

سپس، یک فایل بک دور را از طریق اسکریپت پیلود ibus انجام میدهد  و آن را در مسیر /tmp/e3ac24a0bcddfacd010a6c10f4a814bc ذخیره میکند. که سریعا به کمک درخواست آلوده ی HTTPS که برای اجرای بک دور طراحی شده است باز میشود سپس برای چند لحظه توقف میکند و بعد از آن فایل خود را پاک میکند تا کاربر متوجه مسئله ی مشکوکی نشود. در حالی که مخرب در تاریخ 14 ژانویه شناسایی شد. هیچ کدام از موتور های Antimalware در VirusTotal قادر به شناسایی SpeakUp Trojan نبودند.

ارتباط کانال های C&C با نسخه ی Slated Base64 رمزنگاری شدند.

به محض اینکه کنترل کامل لینوکس سرور را به دست میگیرد. این تروجان سریعا به سرور C&C خود اطلاع میدهد که یک میزبان الوده ی جدید آنلاین است و اطلاعات ثبت نام را به شبکه ی سیستم های آلوده که هکران میتوانند کنترل کنند ارسال میکند.

پیلود و تمامی اطلاعات ارتباطی بین سرور آلوده و سرور c&c با الگوریتم Salted base64 رمزنگاری شدند تا دسترسی به به دامین های چندگانه C&C سرور، آی پی ها و دیگر پارامتر های اختصاصی  و دیگر ماژول های اضافی سخت تر شود.

اکنون در این لحظه، این آلودگی دارای یک سری ماینر و بهره جو میباشند. که دارای یک کیف پول ارز دیجیتالی هستند. همچنین این آلودگی تا کنون توانسته است 107 واحد Monero (ارز دیجیتالی) را از طریق پردازنده ی سیستم های آلوده استخراج کند، به عبارتی 4515 هزار دلار به نرخ امروز.

اسکن و آلوده کردن دیگر میزبانان در شبکه ی یکسان

این آلودگی میتواند از حذف خود حتی پس از راه اندازی مجدد و ریستارت سیستم لینوکس یا مک آلوده مقاومت نشان دهد و اینکار را با استفاده از زمانبر Crone Time انجام میدهد و یک فایل با خاصیت Mutex را اجرا میکند که از اجرای یکسره ی این تروجان اطمینان به عمل می آورد.

ویژگی دیگر این آلودگی SpeakUp امکان اسکن و آلوده سازی ماشین های آسیب پذیر در شبکه ی محلی سرور ها میباشد.

تروجان اینکار را با استفاده از وارد شدن به پنل ادمین و با استفاده از brute-force انجام میدهد و همچنین از طریق وارد کردن کد های ریموت اجرایی به آسیب پذیری ها سعی در وارد شدن خواهد داشت:

  1. CVE-2012-0874: JBoss Enterprise Application Platform Multiple Security Bypass Vulnerabilities.
     
  2. CVE-2010-1871: JBoss Seam Framework remote code execution
     
  3. JBoss AS 3/4/5/6: Remote Command Execution
     
  4. CVE-2017-10271: Oracle WebLogic wls-wsat Component Deserialization RCE
     
  5. CVE-2018-2894: Vulnerability in the Oracle WebLogic Server component of Oracle Fusion Middleware.
     
  6. Hadoop YARN ResourceManager - Command Execution
     
  7. CVE-2016-3088: Apache ActiveMQ Fileserver File Upload Remote Code Execution Vulnerability.

 

  اگرچه هویت بازیگران پشت پرده ی این کمپین هنوز تایید نشده است. اما تیم تحقیقات چک پوینت توانسته است با سازنده ی آلودگی SpeakUp Trojan Backdoor در ارتباط باشد که با نام Zettabit فعالیت میکند.
همچنین، سازنده ی آلودگی SpeakUp در حال حاضر که به آلودگی لینوکس و مک مشغول است میتواند از این بک دور که بر روی سیستم ها نصب است استفاده کند تا پیلود های بیشتر و ماینر های بیشتری را راه اندازی کند. که میتواند بسیار خطرناک تر و نفوذ پذیر تر باشد.

منبع: www.bleepingcomputer.com