هکرها تروجان درپشتی جدیدی به نام SpeakUp ایجاد کرده‌اند که قادر به اجرا روی سیستم‌های لینوکس است.

هکرها تروجان درپشتی جدیدی به نام  SpeakUp ایجاد کرده‌اند که قادر به اجرا روی سیستم‌های لینوکس است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تروجان درپشتی جدید SpeakUp با توانایی اجرا روی سیستم‌های لینوکس شناسایی شده‌است. عوامل این موج اخیر حملات از یک اکسپلویت مربوط به چارچوب ThinkPHP برای آلوده کردن سرورها استفاده می‌کنند. هنگامی که تروجان در سیستم‌های آسیب‌پذیر قرار می‌گیرد، هکرها می توانند از آن برای تغییر ابزار cron محلی برای به‌دست آوردن پایداری بوت، اجرای دستورهای shell، اجرای فایل‌های دانلود شده از یک سرور C&C و بروزرسانی و یا حذف بدافزار استفاده کنند.

به گفته پژوهشگران Check Point که این درپشتی جدید را برای نخستین‌بار کشف کردند که SpeakUp دارای یک اسکریپت پایتون است که بدافزار را از طریق شبکه محلی گسترش می‌دهد. این اسکریپت می‌تواند شبکه‌های محلی را به منظور یافتن پورت‌های باز اسکن کند، با استفاده از یک لیست از نام‌های کاربری و گذرواژه‌های از پیش تعیین شده حملات جست‌وجوی فراگیر (brute-force) انجام دهد و از یکی از هفت اکسپلویت زیر برای نفوذ به سیستم‌های پچ نشده استفاده کند:

• CVE-۲۰۱۲-۰۸۷۴
• CVE-۲۰۱۰-۱۸۷۱
• JBoss AS ۳/۴/۵/۶
• CVE-۲۰۱۷-۱۰۲۷۱
• CVE-۲۰۱۸-۲۸۹۴
• Hadoop YARN ResourceManager - اجرای دستور
• CVE-۲۰۱۶-۳۰۸۸

پژوهشگران Check Point می‌گویند که SpeakUp می‌تواند در 6 توزیع لینوکس و حتی سیستم‌های macOS اجرا شود. عوامل این حمله مشغول استفاده از SpeakUp برای راه‌اندازی کاوشگر ارز دیجیتالی مونرو در سرورهای آلوده هستند. تیم Check Point می‌گوید که این گروه از زمان شروع حملات خود، حدود ۱۰۷ ارز مونرو را که حدود ۴۵۰۰ دلار ارزش دارند، استخراج کرده‌اند.

در حالی‌که نویسندگان SpeakUp در حال حاضر از یک آسیب‌پذیری (CVE-۲۰۱۸-۲۰۰۶۲) در یک چارچوب PHP چینی استفاده می‌کنند به‌راحتی می‌توانند اکسپلویت‌های دیگر را برای گسترش درپشتی خود استفاده کنند. نقشه‌ای از آلودگی‌های جاری نشان می‌دهد که قربانیان SpeakUp عمدتا در آسیا و آمریکای جنوبی هستند.