Descubren un nuevo troyano que afecta a Linux
Conocido como SpeakUp, este nuevo malware aprovecha las vulnerabilidades ya conocidas en 6 versiones distintas de Linux.
Los investigadores de Check Point Software Technologies, proveedor líder especializado en ciberseguridad a nivel mundial, han descubierto una nueva campaña contra servidores Linux que permite implantar una "puerta trasera" (Backdoor) maliciosa que evita a todos los proveedores de seguridad. Este nuevo troyano, conocido como “SpeakUp”, aprovecha las vulnerabilidades conocidas en 6 versiones distintas de Linux. El ataque está principalmente enfocado a servidores del este de Asia y Latinoamérica, incluyendo también dispositivos alojados en AWS.
Este malware se propaga internamente dentro de la sub-red infectada, así como nuevos rangos de IP, aprovechando vulnerabilidades de ejecución de código remoto. Además, SpeakUp cuenta también con la capacidad para infectar dispositivos Mac a través de backdoor sin detectar.
A pesar de que la identidad exacta del hacker que se esconde detrás de esta nueva amenaza aún se desconoce, los investigadores de Check Point han sido capaces de establecer una correlación entre el hacker detrás de SpeakUp y el desarrollador de amenazas malware conocido como Zettabit. A pesar de que SpeakUp se implementa de un modo distinto, presenta muchas cosas en común con el modo de trabajar de Zettabit.
¿Cómo funciona SpeakUp?
El vector inicial de infección tiene como objetivo la última vulnerabilidad conocida en ThinkPHP y usa técnicas de inyección de comandos (command injection) para cargar un intérprete de comandos PHP con el objetivo de ejecutar una puerta trasera en Perl.
El proceso consta de 3 pasos: aprovechar la vulnerabilidad CV-2018-20062 para cargar el intérprete de comandos PHP, instalar el backdoor y, finalmente, poner en marcha el malware. Además, SpeakUp es capaz de escanear e infectar más servidores Linux que se encuentren tanto en las sub-reds internas como externas. Las principales funciones de este malware son:
1. Intento de acceso por fuerza bruta (brute-force) utilizando una lista predefinida de nombres de usuario y contraseñas en un intento de acceder a los paneles de administración.
2. Analizar el entorno de red del equipo infectado, comprobando la disponibilidad de puertos específicos en servidores que comparten la misma máscara de sub- red interna y externa.
3. Intenta aprovechar una serie de vulnerabilidades de ejecución remota de código en los servidores anteriores.
Una vez SpeakUp se registra con el C&C (Centro de Comandos y Control), desde allí se le envían nuevas tareas. La mayoría centradas en descargar y ejecutar distintos archivos. Uno de los puntos a destacar guarda relación con los User-Agents que utiliza SpeakUp. Este malware emplea tres tipos distintos, dos de los cuales son MacOS, que el dispositivo infectado debe utilizar en toda comunicación C&C. A día de hoy, SpeakUp utiliza mineros XMRig en los servidores infectados y, según XMRHunter, los monederos electrónicos afectados cuentan con un total de 107 monedas Monero, aproximadamente.
Por otra parte, las cargas ofuscadas y la técnica de propagación de SpeakUp ponen de manifiesto que una nueva y mayor amenaza se esconde tras este malware. Además, es realmente difícil de creer que alguien pueda llegar a construir un conjunto de cargas útiles tan complejo con el objetivo de desplegar unos pocos mineros de criptomonedas. Por tanto, este hecho invita a pensar que la persona que se encuentra detrás de esta campaña puede, en cualquier momento, desplegar cargar útiles adicionales que sean potencialmente más intrusivas y ofensivas. Asimismo, tiene la capacidad de escanear la red circundante de un servidor infectado y distribuir el malware. Por tanto, aunque esta amenaza sea relativamente nueva, tiene capacidad para convertirse en algo más grande y potencialmente más dañino.