Descoberto novo malware que afecta o Linux

Descoberto novo malware que afecta o Linux

7 Fevereiro, 2019 0 Por Joel Pinto

A equipa de investigação da Check Point, fornecedor líder especializado em cibersegurança a nível global, descobriu uma nova campanha que explora os servidores Linux de forma a implementar um novo Backdoor com o intuito de invadir todos os fornecedores de segurança. O novo Trojan, ao qual foi atribuído o nome “SpeakUp”, aproveita vulnerabilidades já conhecidas em seis diferentes distribuições de Linux. O ataque está a ganharmomentume a identificar os seus servidores-alvo na Ásia Oriental e América Latina, incluindo servidores hospedados em AWS.
O SpeakUp atua através da propagação interna entre a sub-rede infetada e através de novos endereços IP, aproveitando a execução de vulnerabilidades de código remoto. Para além disso, o SpeakUp apresenta capacidades para infetar dispositivos Mac sem deixar rasto.

Enquanto que a verdadeira identidade do ator por detrás deste novo ataque ainda não está confirmada, a equipa de investigação da Check Point conseguiu relacionar o autor do SpeakUp com o criador do malware Zettabit. Apesar do SpeakUp ter sido implementado de maneira diferente, existe muito em comum com a criação e desenho do já conhecido Zettabit.

Como funciona o SpeakUp?

O vetor inicial da infeção tem como objetivo a última vulnerabilidade conhecida em ThinkPHP e utiliza técnicas de injeção de comandos para carregar um interprete de comandos PHP, com o objetivo de executar um Backdoor Perl.

O processo consiste em 3 passos: aproveitar a vulnerabilidade CV-2018-20062 para carregar o interprete de comandos PHP, instalar o backdoor e, finalmente, executar o malware. Além disso o SpeakUp é capaz de monitorizar e infetar também os servidores Linux que se encontrem tanto nas sub redes internas como eternas. As princiais funções deste malware são:

  1. Forçando o acesso através de uma lista pré-definida de utilizadores e passwords para tentar aceder aos painéis de administração.
  2. Monitorizar o ambiente da rede da máquina infectada; conferir a disponibilidade de portas específicas que partilhem o mesmo endereço de subrede interna e externa.
  3. Tentar explorar as várias vulnerabilidades de Execução de Código Remoto nos servidores anteriores.

A partir do momento em que o SpeakUp se regista com o C&C (Centro de Comandos e Controlo) são enviadas novas tarefas, a grande maioria centradas em descargar e executar diferentes documentos. Um dos pontos a destacar são diz respeito aos User-Agents que utilizam SpeakUp. Este malware utiliza três tipos diferentes, dois dos quais são MacOS, que o dispositivo infetado debe utilizar em toda a comunicação C&C. Atualmente, o SpeakUp utiliza mineradores XMRig nos servidores infetados e, segundo a XMRHunter, as carteiras electrónicas afetadas contam com um total de 107 moedas Monero, aproximandamente.

Por outro lado, as cargas ofuscadas e a técnica de propagação do SpeakUp revelam que existe uma maior ameaça, escondida por detrás deste malware. Além disso torna-se difícil de acreditar que alguém possa chegar a construir um conjunto de cargas úteis tão complexo com o objetivo de instalar alguns mineiros de criptomoeda. Por isso, esse facto convida a pensar que a pessoa por de trás desta campanha pode, a qualquer momento, disseminar cargas úteis adicionais que sejam potencialmente mais intrusivas e ofensivas. Assim tem a capacidade de monitorizar a rede circundante de um servidor infectado e distribuir o malware. Portanto, ainda que esta ameaça seja relativamente recente, tem a capacidade de se converter em algo maior e potencialmente mais nocivo.

A Check Point, conta com o Check Point IPs (Intrusion Prevention System), que combina a proteção IPS líder do setor, com um rendimento inovador a um custo inferior ao das soluções de software IPS tradicionais e independentes. A Check Point IPS oferece uma prevenção de ameaças completa e proativa, com as vantagens da implementação e gestão de uma solução firewall de próxima geração unificada e extensível.

Para saber mais informação técnica e forma de atuação deste trojan, visite o artigo desenvolvido pela equipa de pesquisa da Check Point Software: https://research.checkpoint.com/speakup-a-new-undetected-backdoor-linux-trojan/

Já deixou o seu like na nossa página do Facebook, no, Threads, do Instagram, do BlueSky e do X? Receba toda a informação em primeira mão. Siga-nos também no Google Notícias, basta seleccionar-nos entre os seus favoritos clicando na estrela.

Joel Pinto

Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.