Un grupo de investigadores de la firma de ciberseguridad israelí Check Point han descubierto una campaña contra los servidores Linux que trabaja creando una puerta trasera o backdoor maliciosa que le permite esquivar a los proveedores de seguridad.
Este troyano, conocido como SpeakUp, aprovecha las vulnerabilidades conocidas en hasta seis versiones distintas de Linux y ataca principalmente a servidores del este de Asia y Latinoamérica, incluyendo dispositivos alojados en AWS.
SpeakUp se propaga internamente dentro de la subred infectada, así como nuevos rangos de IP, aprovechando vulnerabilidades de ejecución de código remoto. Asimismo, este malware cuenta con capacidad para infectar dispositivos Mac a través de backdoor sin detectar.
Ciberdelincuente oculto, aunque se apunta a Zettabit
Los investigadores de la firma de ciberseguridad no han sido capaces de descubrir la identidad exacta del delincuente cibernético que se esconde detrás de esta amenaza, aunque sí apuntan a una correlación entre el ciberdelincuente detrás de SpeakUp y el desarrollador de amenazas malware conocido como Zettabit. “A pesar de que SpeakUp se implementa de un modo distinto, presenta muchas cosas en común con el modo de trabajar de Zettabit”, explican desde la compañía.
Cómo funciona SpeakUp
Según han podido descifrar los investigadores de Check Point, el vector inicial de infección tiene como objetivo la última vulnerabilidad conocida en ThinkPHP y utiliza técnicas de inyección de comandos (command injection) para cargar un intérprete de comandos PHP con el objetivo de ejecutar una puerta trasera en Perl.
El proceso del ataque consta de tres pasos. En primer lugar, aprovechar la vulnerbailidad CV-2018-20062 para cargar el intérprete de comandos PHP; en segundo lugar, instalar el backdoor; y finalmente, poner en marcha el malware. Asimismo, SpeakUp es capaz de escanear e infectar más servidores Linux que se encuentren tanto en las subredes internas como externas.
Las principales funciones de este malware son:
- Intento de acceso por fuerza bruta (brute-force) utilizando una lista predefinida de nombres de usuario y contraseñas en un intento de acceder a los paneles de administración.
- Analizar el entorno de red del equipo infectado, comprobando la disponibilidad de puertos específicos en servidores que comparten la misma máscara de sub- red interna y externa.
- Intenta aprovechar una serie de vulnerabilidades de ejecución remota de código en los servidores anteriores.
Una vez SpeakUp se ha registrado con el C&C (Centro de comandos y control), desde allí se le envían nuevas tareas, la mayoría de ellas centradas en descargar y ejecutar distintos archivos.
Uno de los puntos a destacar de este malware está relacionado con los User-Agentes que utiliza. SpeakUp emplea tres tipos distintos, dos de los cuales son MacOS, que el dispositivo infectado debe utilizar en toda comunicación C&C.
SpealUp utiliza mineros XMRig en los servidores infectados y, según XMRHunter, los monederos electrónicos cuentan con un total de 107 monedas Monero (casi 4000 euros).
Desde Check Point creen que "la persona que se encuentra detrás de esta campaña puede, en cualquier momento, desplegar cargar útiles adicionales que sean potencialmente más intrusivas y ofensivas"
Por otro lado, las cargas ofuscas y la técnica de propagación ponen de manifiesto que una nueva y mayor amenaza se esconde detrás de este malware. Además, “es realmente difícil de creer que alguien pueda llegar a construir un conjunto de cargas útiles tan complejo con el objetivo de desplegar unos pocos mineros de criptomonedas. Por tanto, este hecho invita a pensar que la persona que se encuentra detrás de esta campaña puede, en cualquier momento, desplegar cargar útiles adicionales que sean potencialmente más intrusivas y ofensivas”, advierten desde Check Point.
Asimismo, SpeakUp tiene capacidad de escanear la red circundante de un servidor infectado y distribuir el malware. Por tanto, aunque esta amenaza sea relativamente nueva, tiene capacidad para convertirse en algo más grande y potencialmente más dañino.
Si (
No(
