Ir para conteúdo

Ataque em série planta backdoor em Linux e Mac

Featured Replies

Postado
Pesquisadores da Check Point detectaram uma série de ataques contra servidores Linux, principalmente na Ásia e América Latina (inclusive Brasil) para implantar um backdoor que se esconde de TODOS os fornecedores de soluções de segurança. O relatório sobre essa descoberta informq que é um novo Trojan chamado “SpeakUp” (na verdade o nome de um dos seus centros de comando e controle), e explora vulnerabilidades conhecidas em seis distribuições do Linux, infelizmente não listadas no relatório. Além disso, o SpeakUp apresenta capacidade de infectar dispositivos Macintosh. O ataque está ganhando força e busca inclusive máquinas hospedadas na AWS.
propagacao-speakup-300x174.png

Área de propagação do SpeakUp

Segundo o relatório da Check point, o SpeakUp se propaga dentro da sub-rede infectada e busca quaisquer outros ranges de IP associados, explorando vulnerabilidades de execução remota de código. A identidade do ator por trás desse novo ataque ainda não está confirmada. Mas os Pesquisadores da Check Point conseguiram correlacionar o autor do SpeakUp com o desenvolvedor de malware chamado Zettabit. Embora o SpeakUp seja implementado de maneira diferente, ele tem muito em comum com o Zettabit, diz o relatório O Zettabit atualmente é considerado um malware com origem na Rússia.

 
O vetor de infecção inicial tem como alvo uma vulnerabilidade relatada recentemente no ThinkPHP, e usa técnicas de injeção de comando para fazer o upload de um shell PHP que baixa e executa um backdoor Perl. O ataque é feito em três etapas. Em uma tentativa de atrapalhar a investigação de pesquisadores de segurança, o payload do segundo estágio é criptografado em base64 com salt. Para espanto dos pesquisadores da Check Point, a comunicação do C&C também foi codificada com a mesma combinação.

Os dados revelados contêm vários domínios C&C, endereços IP e outros parâmetros, juntamente com payload e módulos adicionais. O SpeakUp também equipa seus backdoors com o “i” (sic), um script python que permite ao backdoor varrer e a rede e infectar mais servidores Linux dentro de suas sub-redes internas e externas.

LINK da matéria: https://www.cibersecurity.net.br/ataque-em-serie-planta-backdoor-em-linux-e-mac/?fbclid=IwAR1T8oR5lUs2mSvMy8A3ANhQl7822g0WtPykQeruC4mZgQgbisqtoJfm12w

Editado por Maik V Oliveira


Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

Quem Está Navegando 0

  • Nenhum usuário registrado visualizando esta página.

Informação Importante

Concorda com os nossos termos?