Jump to content

Ataque em série planta backdoor em Linux e Mac


Recommended Posts

Pesquisadores da Check Point detectaram uma série de ataques contra servidores Linux, principalmente na Ásia e América Latina (inclusive Brasil) para implantar um backdoor que se esconde de TODOS os fornecedores de soluções de segurança. O relatório sobre essa descoberta informq que é um novo Trojan chamado “SpeakUp” (na verdade o nome de um dos seus centros de comando e controle), e explora vulnerabilidades conhecidas em seis distribuições do Linux, infelizmente não listadas no relatório. Além disso, o SpeakUp apresenta capacidade de infectar dispositivos Macintosh. O ataque está ganhando força e busca inclusive máquinas hospedadas na AWS.
propagacao-speakup-300x174.png

Área de propagação do SpeakUp

Segundo o relatório da Check point, o SpeakUp se propaga dentro da sub-rede infectada e busca quaisquer outros ranges de IP associados, explorando vulnerabilidades de execução remota de código. A identidade do ator por trás desse novo ataque ainda não está confirmada. Mas os Pesquisadores da Check Point conseguiram correlacionar o autor do SpeakUp com o desenvolvedor de malware chamado Zettabit. Embora o SpeakUp seja implementado de maneira diferente, ele tem muito em comum com o Zettabit, diz o relatório O Zettabit atualmente é considerado um malware com origem na Rússia.

 
O vetor de infecção inicial tem como alvo uma vulnerabilidade relatada recentemente no ThinkPHP, e usa técnicas de injeção de comando para fazer o upload de um shell PHP que baixa e executa um backdoor Perl. O ataque é feito em três etapas. Em uma tentativa de atrapalhar a investigação de pesquisadores de segurança, o payload do segundo estágio é criptografado em base64 com salt. Para espanto dos pesquisadores da Check Point, a comunicação do C&C também foi codificada com a mesma combinação.

Os dados revelados contêm vários domínios C&C, endereços IP e outros parâmetros, juntamente com payload e módulos adicionais. O SpeakUp também equipa seus backdoors com o “i” (sic), um script python que permite ao backdoor varrer e a rede e infectar mais servidores Linux dentro de suas sub-redes internas e externas.

LINK da matéria: https://www.cibersecurity.net.br/ataque-em-serie-planta-backdoor-em-linux-e-mac/?fbclid=IwAR1T8oR5lUs2mSvMy8A3ANhQl7822g0WtPykQeruC4mZgQgbisqtoJfm12w

Edited by Maik V Oliveira
Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

Do you agree with our terms?