Trojan SpeakUp misbruikt nieuwe kwetsbaarheid in Linux

Hackers hebben een nieuwe backdoor-trojan ontwikkeld die op Linux-systemen kan draaien. De malware draagt de naam SpeakUp en richt zich op dit moment vooral op Linux-servers die zich in China bevinden. De hackers achter deze reeks aanvallen gebruiken het ThinkPHP-framework om servers te infecteren.

Zodra de trojan een voet aan de grond krijgt in een van de kwetsbare systemen, kunnen hackers hem gebruiken om lokale toestemmingen te veranderen. Zo kunnen ze shell commands draaien, bestanden die ze vanaf een afgelegen C&C-server gedownload hebben laten draaien en de trojan installeren, maar ook verwijderen.

Kwetsbaarheden misbruiken

Dat melden onderzoekers van Check Point, die de nieuwe kwetsbaarheid drie weken geleden ontdekten. SpeakUp is ook voorzien van een ingebouwd Python-script, dat de malware gebruikt o zichzelf door het lokale netwerk te verspreiden. Het script zoekt namelijk naar open ports, maar kan ook gebruik maken van brute-force aanvallen waarbij het gebruik maakt van vooraf opgestelde lijsten met gebruikersnamen en wachtwoorden. Middels een lijst van zeven andere exploits kunnen nog niet gepatchte systemen verder gepenetreerd worden. Het gaat daarbij om deze exploits:

  • CVE-2012-0874: JBoss Enterprise Application Platform Multiple Security Bypass kwetsbaarheden
  • CVE-2010-1871: JBoss Seam Framework remote code execution
  • JBoss AS 3/4/5/6: Remote Command Execution
  • CVE-2017-10271: Oracle WebLogic wls-wsat Component Deserialization RCE
  • CVE-2018-2894: Kwetsbaarheid in het Oracle WebLogic Server component van Oracle Fusion Middleware.
  • Hadoop YARN ResourceManager – Command Execution
  • CVE-2016-3088: Apache ActiveMQ Fileserver File Upload Remote Code Execution kwetsbaarheid

Zodra SpeakUp nieuwe apparaten heeft geïnfecteerd, kan het zichzelf ook uitrollen naar die nieuwe systemen. Check Point stelt dat SpeakUp op zes verschillende Linux-distributies en zelfs macOS-systemen kan draaien. De groep achter deze trojan probeert overigens monero-miners te installeren op de geïnfecteerde servers. Check Point stelt dat het team achter SpeakUp tot nu toe zo’n 107 monero-coins heeft gegenereerd, wat goed is voor 4.500 dollar (3.940 euro).

Er zijn overigens nog nauwelijks infecties in het westen; de meeste apparaten bevinden zich in Azië en in Zuid-Amerika.