SpeakUp Linux Backdoor targets Linux servers in East Asia and LATAM
Check Point의 보안 연구원이 동아시아와 중남미 지역의 서버를 노리는 새로운 리눅스 백도어인 ‘SpeakUp’을 발견했습니다.
SpeakUp의 피해자 분포
<출처 : https://research.checkpoint.com/speakup-a-new-undetected-backdoor-linux-trojan/>
SpeakUp 백도어는 리눅스 배포판 6개의 알려진 취약점들을 악용하며, Mac 시스템을 감염시킬 수도 있습니다. 이 트로이목마는 원격 코드 실행 결점을 악용하여 배포 되며, 해커들은 초기 감염을 위해 최근 공개 된 Think PHP의 취약점 (CVE-2018-20062)을 악용합니다.
연구원들은 SpeakUp 백도어의 제작자를 온라인명 Zettabithf를 사용하는 악성코드 개발자와 연결시켰습니다.
감염 된 기기들 중 대부분은 중국에 있었으며, Check Point가 2019년 1월 14일 분석한 샘플도 중국에서 발견 되었습니다.
“우리가 분석한 샘플은 2019년 1월 14일 중국의 기기를 공격하던 중 발견 되었으며, 2019년 1월 9일 바이러스토털에 등록 되었습니다. 이 글을 작성하는 당시 바이러스 토털에는 이를 탐지하는 백신이 하나도 없는 것으로 표시되었습니다.”
일단 시스템을 감염 시키면, 이 백도어는 cron과 인터널 mutex를 사용하여 기기를 등록하기 위해 C&C 서버에 연결합니다. 이 방법을 사용하면 한 인스턴스만 항상 살아있게 됩니다.
이 백도어는 아래의 명령을 지원합니다:
newtask – 임의 코드 실행, 파일 다운로드 alac 실행, 프로그램 킬 또는 언인스톨, 업데이트 된 핑거프린트 데이터 보내기
notask – 3초 동안 sleep 후 추가 명령을 기다림
newerconfig – 다운로드 된 마이너 구성 파일 업데이트
이 백도어는 파이썬 스크립트를 사용해 내부/외부 서브넷의 다른 리눅스 서버를 스캔하고 감염시킵니다. 또한 관리 페이지에 브루트포싱 공격을 가하는 것도 가능합니다.
이 스크립트는 대상 서버에서 아래의 RCE 취약점을 악용하려 시도합니다.
CVE-2012-0874: JBoss Enterprise 어플리케이션 플랫폼의 다중 보안 우회 취약점
CVE-2010-1871: JBoss Seam Framework 원격 코드 실행
JBoss AS 3/4/5/6: 원격 명령 실행 (exploit)
CVE-2017-10271: Oracle WebLogic wls–wsat 컴포넌트 역직렬화 RCE
CVE-2018-2894: Oracle Fusion Middleware내 Oracle WebLogic Server 컴포넌트의 취약점
Hadoop YARN ResourceManager – 명령 실행 (exploit)
CVE-2016-3088: Apache ActiveMQ 파일 서버 파일 업로드 원격 코드 실행 취약점
연구원들은 “SpeakUp의 난독화 된 페이로드와 전파 기술은 제작 중인 더욱 큰 위협의 것임이 분명합니다. 마이너 몇 개를 배포하기 위해 이와 같은 복합적인 페이로드 배열을 빌드했다고는 믿기 어렵습니다.” “이 캠페인의 배후에 있는 공격자는 언제든 더욱 공격적인 추가 페이로드를 배치할 수 있습니다.”라고 밝혔습니다.
현재 알약에서는 해당 악성코드들에 대하여 Backdoor.Linux.SpeakUp, Misc.Riskware.BitCoinMiner.Linux, Trojan.Downloader.Linux으로 탐지중에 있습니다.
출처 :
https://securityaffairs.co/wordpress/80706/malware/speakup-backdoor.html
https://research.checkpoint.com/speakup-a-new-undetected-backdoor-linux-trojan/
스테가노그라피, AtomBombing 기술을 사용해 Ursnif를 배포하는 캠페인 발견 (0) | 2019.02.11 |
---|---|
인기있는 RDP 클라이언트의 취약점, 악성 서버가 PC를 역으로 해킹 가능하도록 만들어 (0) | 2019.02.08 |
LinkedIn, 1.59억명 개인정보 유출 (0) | 2019.02.07 |
Altran 공격에 사용 된 것으로 추정 되는 LockerGoga 랜섬웨어 발견 (0) | 2019.01.31 |
‘타구파일빈(宅ふぁいる便)’, 약 480만건의 회원정보 유출 (0) | 2019.01.31 |
댓글 영역