新恶意软件将攻击全球7万台Linux和Mac设备
source link: https://www.leiphone.com/news/201902/MSI4KFi0mGPU2BXB.html?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
雷锋网 (公众号:雷锋网) 2月6日消息,Check Point的IT安全研究人员发现了一种名为SpeakUp的针对Linux和macOS的新恶意软件攻击激增。
SpeakUp是一种新的后门木马,网络犯罪分子通过恶意软件针对6个不同Linux版本和macOS系统的服务器进行攻击。值得一提的是,该恶意软件存储了大量之前的攻击案例,能够优先识别安全漏洞并有效地逃避杀毒程序。
研究人员称:“黑客利用ThinkPHP(cve - 2018 - 20062)远程代码执行漏洞感染Linux和macOS服务器。 他们通常喜欢使用后门木马执行攻击,并通过控制受感染的设备与C&C服务器建立一个连接,这些恶意软件最终会帮助攻击者获得控制机器运行的完整权限。”
目前尚未确认此次攻击背后威胁者的真实身份,但网络安全研究人员认为SpeakUp的开发者很可能是一个昵称为Zettabit的恶意软件开发人员的“杰作”。在博客中研究人员分析,尽管SpeakUp的实现方式不同,但它与Zettabit的开发特点有很多共同之处。
据研究人员称,SpeakUp利用的是ThinkPHP框架。在美国优先使用的100万个域名中,几乎90%都使用该框架。此外,SpeakUp可以在不被检测到的情况下感染Mac机器,这是之前类似攻击不曾拥有的新功能。目前,SpeakUp的主要目标是东亚和拉丁美洲的设备,而AWS托管的设备大多是它的主要受害者。由此来看,全球约有7万台服务器成为此次行动的目标。
Check Point的研究人员称:“利用ThinkPHP漏洞进行攻击只是整个木马感染设备的开始。随后,黑客将能够修改本地cron实用程序以获得权限,由此执行从远程C&C服务器下载的文件、运行shell命令或者卸载升级自己。”
此外,SpeakUp还有一个内置的Python脚本,该脚本可以让恶意软件在本地网络上传播。Python脚本会使用预先定义的登录凭据列表自动扫描本地网络以定位打开的端口并识别最近区域的系统漏洞。
它还使用了远程命令执行和Oracle融合中间件的Oracle WebLogic Server组件等7种不同的漏洞来控制未补丁的系统。在感染新机器后,恶意软件会自动部署到系统上。
据分析,攻击者正在使用SpeakUp在受感染的设备上部署Monero加密货币挖矿系统。截至目前,该组织已经成功制造了107枚Monero硬币(约合4500美元)。虽然目前攻击者正在利用中国PHP框架,但也有可能转向其他攻击以进一步扩大自己的目标范围。
文章来源:hackread
雷锋网原创文章,未经授权禁止转载。详情见 转载须知 。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK