هکرها تروجان درپشتی جدیدی به نام SpeakUp ایجاد کردهاند که قادر به اجرا روی سیستمهای لینوکس است.
لینوکس در دام تروجان نوپای SpeakUp
مرکز مدیریت راهبردی افتا , 17 بهمن 1397 ساعت 14:50
هکرها تروجان درپشتی جدیدی به نام SpeakUp ایجاد کردهاند که قادر به اجرا روی سیستمهای لینوکس است.
هکرها تروجان درپشتی جدیدی به نام SpeakUp ایجاد کردهاند که قادر به اجرا روی سیستمهای لینوکس است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تروجان درپشتی جدید SpeakUp با توانایی اجرا روی سیستمهای لینوکس شناسایی شدهاست. عوامل این موج اخیر حملات از یک اکسپلویت مربوط به چارچوب ThinkPHP برای آلوده کردن سرورها استفاده میکنند. هنگامی که تروجان در سیستمهای آسیبپذیر قرار میگیرد، هکرها می توانند از آن برای تغییر ابزار cron محلی برای بهدست آوردن پایداری بوت، اجرای دستورهای shell، اجرای فایلهای دانلود شده از یک سرور C&C و بروزرسانی و یا حذف بدافزار استفاده کنند.
به گفته پژوهشگران Check Point که این درپشتی جدید را برای نخستینبار کشف کردند که SpeakUp دارای یک اسکریپت پایتون است که بدافزار را از طریق شبکه محلی گسترش میدهد. این اسکریپت میتواند شبکههای محلی را به منظور یافتن پورتهای باز اسکن کند، با استفاده از یک لیست از نامهای کاربری و گذرواژههای از پیش تعیین شده حملات جستوجوی فراگیر (brute-force) انجام دهد و از یکی از هفت اکسپلویت زیر برای نفوذ به سیستمهای پچ نشده استفاده کند:
• CVE-۲۰۱۲-۰۸۷۴
• CVE-۲۰۱۰-۱۸۷۱
• JBoss AS ۳/۴/۵/۶
• CVE-۲۰۱۷-۱۰۲۷۱
• CVE-۲۰۱۸-۲۸۹۴
• Hadoop YARN ResourceManager - اجرای دستور
• CVE-۲۰۱۶-۳۰۸۸
پژوهشگران Check Point میگویند که SpeakUp میتواند در 6 توزیع لینوکس و حتی سیستمهای macOS اجرا شود. عوامل این حمله مشغول استفاده از SpeakUp برای راهاندازی کاوشگر ارز دیجیتالی مونرو در سرورهای آلوده هستند. تیم Check Point میگوید که این گروه از زمان شروع حملات خود، حدود ۱۰۷ ارز مونرو را که حدود ۴۵۰۰ دلار ارزش دارند، استخراج کردهاند.
در حالیکه نویسندگان SpeakUp در حال حاضر از یک آسیبپذیری (CVE-۲۰۱۸-۲۰۰۶۲) در یک چارچوب PHP چینی استفاده میکنند بهراحتی میتوانند اکسپلویتهای دیگر را برای گسترش درپشتی خود استفاده کنند. نقشهای از آلودگیهای جاری نشان میدهد که قربانیان SpeakUp عمدتا در آسیا و آمریکای جنوبی هستند.
کد مطلب: 15065