SpeakUp es un backdoor que se aprovecha de más de seis distribuciones de linux con campañas activas en este asiático y LatinoAmérica.
Este troyano se estaría aprovechando de vulnerabilidades conocidas en estas distribuciones. Es por eso que nace la necesidad de actualizar los servidores con los últimos parches de Seguridad.
Segun los investigadores de Checkpoint esta campaña estaría siendo casi indetectable por casi todas las marcas especialistas en CiberSeguridad.
Los atacantes usan la vulnerabilidad en ThinkPHP para implementar un shell de PHP en el servidor y luego, para ejecutar la puerta trasera en Perl. La infección es un proceso de tres pasos.
El vector de infección comienza con la explotación de la vulnerabilidad de ThinkPHP (CVE-2018-20062) para cargar el shell de PHP.
Luego, en el siguiente paso, una carga útil de ibus se inyecta en el servidor con la solicitud HTTP estándar y los almacenes del payload en el directorio tmp.
La solicitud HTTP adicional enviada al servidor para ejecutar la payload que ejecuta el script perl y después de dos segundos, la carga útil se elimina.
La comunicación de SpeakUp comienza con la solicitud POST que envía un ID de víctima y otra información. Comunicación de C&C realizada a través de la página web comprometida speakupomaha [.] Com.
Vulnerabilidades Explotadas
“La técnica de propagación y carga útil ofuscada de SpeakUp es, sin lugar a dudas, el trabajo de una amenaza mayor en la fabricación. ", Concluyeron los investigadores. Es difícil imaginar que alguien construiría una variedad tan compuesta de cargas útiles para desplegar pocos mineros", concluyeron los investigadores.
Dentro del script de ibus, podemos ver una breve descripción de un cliente IBus para GNU Emacs. El cliente IBus es un marco de entrada multilingüe de código abierto para Linux y Unix OS. Si bien es compatible con todos los idiomas que no usan letras latinas, parece que la audiencia principal son los usuarios asiáticos. La descripción y el nombre del archivo son los únicos elementos que vinculan a SpeakUp con el marco de Ibus; El contenido no tiene similitudes en absoluto.
Esto puede implicar una conexión entre SpeakUp al este de Asia.
Este troyano se estaría aprovechando de vulnerabilidades conocidas en estas distribuciones. Es por eso que nace la necesidad de actualizar los servidores con los últimos parches de Seguridad.
Segun los investigadores de Checkpoint esta campaña estaría siendo casi indetectable por casi todas las marcas especialistas en CiberSeguridad.
Ataque
Los atacantes usan la vulnerabilidad en ThinkPHP para implementar un shell de PHP en el servidor y luego, para ejecutar la puerta trasera en Perl. La infección es un proceso de tres pasos.
El vector de infección comienza con la explotación de la vulnerabilidad de ThinkPHP (CVE-2018-20062) para cargar el shell de PHP.
Luego, en el siguiente paso, una carga útil de ibus se inyecta en el servidor con la solicitud HTTP estándar y los almacenes del payload en el directorio tmp.
La solicitud HTTP adicional enviada al servidor para ejecutar la payload que ejecuta el script perl y después de dos segundos, la carga útil se elimina.
La comunicación de SpeakUp comienza con la solicitud POST que envía un ID de víctima y otra información. Comunicación de C&C realizada a través de la página web comprometida speakupomaha [.] Com.
Vulnerabilidades Explotadas
- CVE-2012-0874: Varias vulnerabilidades de omisión de seguridad en la plataforma de aplicaciones empresariales JBoss
- CVE-2010-1871: Ejecución remota de código de JBoss Seam Framework
- JBoss AS 3/4/5/6: Ejecución remota de comandos (exploit)
- CVE-2017-10271: RCE de deserialización de componentes wls-wsat de Oracle WebLogic
- CVE-2018-2894: Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware.
- Hadoop YARN ResourceManager - Ejecución de comandos (explotar)
- CVE-2016-3088: Vulnerabilidad de ejecución remota de código en la carga de archivos de Apache ActiveMQ Fileserver.
“La técnica de propagación y carga útil ofuscada de SpeakUp es, sin lugar a dudas, el trabajo de una amenaza mayor en la fabricación. ", Concluyeron los investigadores. Es difícil imaginar que alguien construiría una variedad tan compuesta de cargas útiles para desplegar pocos mineros", concluyeron los investigadores.
Identidad y clientes potenciales del atacante
Esto puede implicar una conexión entre SpeakUp al este de Asia.
