Исследователи компании Check Point обнаружили нового бэкдор-трояна SpeakUp. Атака набирает обороты и нацелена на серверы в Восточной Азии и Латинской Америке, включая машины, размещенные на AWS. Эксперты подчеркивают, что малварь может представлять опасность для шести дистрибутивов Linux, а также для устройств на macOS.
Распространение новой угрозы связано с использованием уязвимости во фреймворке ThinkPHP (CVE-2018-20062), обнаруженной в декабре 2018 года, для которой уже тогда был представлен PoC-эксплоит. Напомню, что данный баг активно применяют злоумышленники, например, ИБ-специалисты уже замечали, что с его помощью преступники пополняют ряды ботнетов Yowai и Hakai.
Теперь уязвимость в ThinkPHP используется для распространения SpeakUp. После того как троян проник в систему, он может использоваться для работы с cron и достижения устойчивого присутствия на устройстве, исполнения shell-команд, исполнения произвольных файлов, загруженных с удаленного управляющего сервера, обновления или уничтожения самого себя.
Первые атаки с применением SpeakUp были зафиксированы 14 января 2019 года, и эксперты отмечают, что малварь поставляется вместе со встроенным Python-скриптом, который используется для распространения заражения в локальной сети. Скрипт сканирует локальную сеть и ищет открытые порты, брутфорсит «соседние» системы, используя заранее подготовленный список логинов и паролей, а затем пытается применить против них один из семи эксплоитов:
- CVE-2012-0874 (JBoss Enterprise Application Platform);
- CVE-2010-1871 (JBoss Seam Framework);
- CVE-2017-10271 (Oracle WebLogic wls-wsat);
- CVE-2018-2894 (Oracle Fusion Middleware);
- CVE-2016-3088 (Apache ActiveMQ Fileserver);
- RCE-уязвимость в JBoss AS 3/4/5/6;
- баг, связанный с выполнением команд в Hadoop YARN.
По данным специалистов, в настоящее время хак-группа, использующая SpeakUp, применяет бэкдор для установки майнинговой малвари на зараженные серверы. Таким способом хакеры добывают криптовалюту Monero, и на их счету уже около 107 XMR, то есть порядка 45 000 долларов США по текущему курсу. При этом, учитывая сложность бэкдора, исследователи опасаются, что ПО для добычи криптовалюты – это лишь временное решение, и на самом деле операторы SpeakUp могут готовить что-то более серьезное.
Личность хакера, ответственного за новую атаку, не подтверждена, однако исследователи Check Point связывают автора SpeakUp с вирусописателем, известным под ником Zettabit. Хотя SpeakUp реализован по-другому, по мнению специалистов, он имеет много общего с "почерком" Zettabit.