A equipa de investigação da Check Point Software Technologies Ltd descobriu uma nova campanha que explora os servidores Linux na Ásia Oriental e América Latina, incluindo servidores hospedados em AWS, de forma a implementar um novo backdoor.
O novo Trojan, ao qual foi atribuído o nome “SpeakUp”, aproveita vulnerabilidades já conhecidas em seis diferentes distribuições de Linux.
O “SpeakUp” actua através da propagação interna entre a sub-rede infectada e através de novos endereços IP. Para além disso, o “SpeakUp” apresenta capacidades para infectar computadores Mac, sem deixar rasto, e a equipa de investigação da Check Point conseguiu relacionar o autor do Trojan com o criador do malware Zettabit.
O vector inicial da infecção tem como objectivo a última vulnerabilidade conhecida em ThinkPHP. O processo consiste em aproveitar a vulnerabilidade CV-2018-20062 para carregar o interprete de comandos PHP, instalar o backdoor e, finalmente, executar o malware. A partir do momento em que o “SpeakUp” procede ao registo com o C&C (Centro de Comandos e Controlo), são enviadas novas tarefas, a grande maioria centrada em descarregar e executar diferentes ficheiros.
Os servidores infectados pelo “SpeakUp” estão a ser utilizados para a mineração de criptomoeda.
Via Check Point Software Technologies Ltd.
