Исследователи из компании CheckPoint рассказали об атаках нового трояна, получившего название SpeakUp. Зловред эксплуатирует уязвимость во фреймворке ThinkPHP, а также другие бреши, чтобы установить бэкдор на Linux-серверы и внедрить в систему майнер криптовалюты. Программа поддерживает связь с командным сервером по зашифрованному каналу и способна доставлять на инфицированные компьютеры любую полезную нагрузку.

По словам ИБ-специалистов, новый штамм ориентирован в первую очередь на хосты в Юго-Восточной Азии и Латинской Америке, включая системы, работающие в составе облачного сервиса AWS.

В качестве первоначального вектора заражения аналитики называют уязвимость во фреймворке ThinkPHP, которая позволяет удаленно выполнить сторонний код на устройстве. Эксплуатируя брешь, SpeakUp разворачивает в системе собственную PHP-оболочку и запускает скрипт, написанный на Perl.

Исследователи отмечают, что для дальнейшего распространения зловред сканирует сеть в поисках открытых портов и пытается заразить другие устройства, используя перебор по словарю, а также известные баги Linux-платформ:

Проникнув на целевой хост, зловред разворачивает бэкдор и удаляет следы вторжения — файлы оболочки и Perl-скрипта.

Как утверждают ИБ-специалисты, на момент проведения исследования SpeakUp не обнаруживал ни один из 59 антивирусных сканеров, используемых сайтом VirusTotal. Эксперты отмечают, что злоумышленники шифруют все загружаемые модули трояна, а также его дальнейший обмен информацией с командным сервером при помощи алгоритма base64 и используют соль, чтобы усложнить несанкционированный перехват трафика.

После установки соединения с центром управления зловред регистрирует на нем компьютер жертвы и получает полезную нагрузку — генератор криптовалюты Monero XMRig. По словам аналитиков, троян способен получать с командного сервера и выполнять в инфицированной системе любые файлы при помощи процедуры newtask. Дополнительно зловред может загружать настройки для майнера, чтобы при необходимости сменить целевой кошелек. В данный момент на аккаунте злоумышленников хранится 107 токенов Monero, что на момент публикации эквивалентно $4,6 тыс.

Категории: Вредоносные программы, Главное