Ataque em série planta backdoor em Linux e Mac

Pesquisadores da Check Point detectaram uma série de ataques contra servidores Linux, principalmente na Ásia e América Latina (inclusive Brasil) para implantar um backdoor que se esconde de TODOS os fornecedores de soluções de segurança. O relatório sobre essa descoberta informq que é um novo Trojan chamado “SpeakUp” (na verdade o nome de um dos seus centros de comando e controle), e explora vulnerabilidades conhecidas em seis distribuições do Linux, infelizmente não listadas no relatório. Além disso, o SpeakUp apresenta capacidade de infectar dispositivos Macintosh. O ataque está ganhando força e busca inclusive máquinas hospedadas na AWS.

Segundo o relatório da Check point, o SpeakUp se propaga dentro da sub-rede infectada e busca quaisquer outros ranges de IP associados, explorando vulnerabilidades de execução remota de código. A identidade do ator por trás desse novo ataque ainda não está confirmada. Mas os Pesquisadores da Check Point conseguiram correlacionar o autor do SpeakUp com o desenvolvedor de malware chamado Zettabit. Embora o SpeakUp seja implementado de maneira diferente, ele tem muito em comum com o Zettabit, diz o relatório.  O Zettabit atualmente é considerado um malware com origem na Rússia.

 

O vetor de infecção inicial tem como alvo uma vulnerabilidade relatada recentemente no ThinkPHP, e usa técnicas de injeção de comando para fazer o upload de um shell PHP que baixa e executa um backdoor Perl. O ataque é feito em três etapas. Em uma tentativa de atrapalhar a investigação de pesquisadores de segurança, o payload do segundo estágio é criptografado em base64 com salt. Para espanto dos pesquisadores da Check Point, a comunicação do C&C também foi codificada com a mesma combinação.

Os dados revelados contêm vários domínios C&C, endereços IP e outros parâmetros, juntamente com payload e módulos adicionais. O SpeakUp também equipa seus backdoors com o “i” (sic), um script python que permite ao backdoor varrer e a rede e infectar mais servidores Linux dentro de suas sub-redes internas e externas.

LINK da matéria: https://www.cibersecurity.net.br/ataque-em-serie-planta-backdoor-em-linux-e-mac/?fbclid=IwAR1T8oR5lUs2mSvMy8A3ANhQl7822g0WtPykQeruC4mZgQgbisqtoJfm12w