Propagação e origem
Área de propagação do SpeakUp
Segundo o relatório da Check point, o SpeakUp se propaga dentro da sub-rede infectada. Ele busca quaisquer outros ranges de IP associados. Assim, explora vulnerabilidades de execução remota de código. A identidade do ator por trás desse novo ataque ainda não está confirmada. Porém, o autor do SpeakUp deve ser o mesmo que desenvolveu o malware chamado Zettabit.
Embora o SpeakUp seja implementado de maneira diferente, ele tem muito em comum com o Zettabit, diz o relatório. O Zettabit atualmente é considerado um malware com origem na Rússia.
O vetor de infecção inicial tem como alvo uma vulnerabilidade relatada recentemente no ThinkPHP. Ele usa técnicas de injeção de comando para fazer o upload de um shell PHP que baixa e executa um backdoor Perl.
Etapas do ataque
O ataque é feito em três etapas. Em uma tentativa de atrapalhar a investigação de pesquisadores de segurança, o payload do segundo estágio é criptografado em base64 com salt. Para espanto dos pesquisadores da Check Point, a comunicação do C&C também foi codificada com a mesma combinação.
Os dados revelados contêm vários domínios C&C, endereços IP e outros parâmetros, juntamente com payload e módulos adicionais. O SpeakUp também equipa seus backdoors com o “i” (sic), um script python que permite ao backdoor varrer e a rede e infectar mais servidores Linux dentro de suas sub-redes internas e externas.
Leia o relatório completo da Check Point em:
[button href=”https://research.checkpoint.com/speakup-a-new-undetected-backdoor-linux-trojan/” type=”btn-default” size=”btn-lg”]Relatório Trojan SpeakUp[/button]
