동아시아와 중남미 지역의 리눅스 서버를 노리는 SpeakUp 리눅스 백도어 발견

SpeakUp Linux Backdoor targets Linux servers in East Asia and LATAM

Check Point의 보안 연구원이 동아시아와 중남미 지역의 서버를 노리는 새로운 리눅스 백도어인 ‘SpeakUp’을 발견했습니다.

SpeakUp의 피해자 분포

<출처 : https://research.checkpoint.com/speakup-a-new-undetected-backdoor-linux-trojan/>

SpeakUp 백도어는 리눅스 배포판 6개의 알려진 취약점들을 악용하며, Mac 시스템을 감염시킬 수도 있습니다. 이 트로이목마는 원격 코드 실행 결점을 악용하여 배포 되며, 해커들은 초기 감염을 위해 최근 공개 된 Think PHP의 취약점 (CVE-2018-20062)을 악용합니다.

연구원들은 SpeakUp 백도어의 제작자를 온라인명 Zettabithf를 사용하는 악성코드 개발자와 연결시켰습니다.

감염 된 기기들 중 대부분은 중국에 있었으며, Check Point가 2019년 1월 14일 분석한 샘플도 중국에서 발견 되었습니다.

“우리가 분석한 샘플은 2019년 1월 14일 중국의 기기를 공격하던 중 발견 되었으며, 2019년 1월 9일 바이러스토털에 등록 되었습니다. 이 글을 작성하는 당시 바이러스 토털에는 이를 탐지하는 백신이 하나도 없는 것으로 표시되었습니다.”

일단 시스템을 감염 시키면, 이 백도어는 cron과 인터널 mutex를 사용하여 기기를 등록하기 위해 C&C 서버에 연결합니다. 이 방법을 사용하면 한 인스턴스만 항상 살아있게 됩니다.

이 백도어는 아래의 명령을 지원합니다:

newtask – 임의 코드 실행, 파일 다운로드 alac 실행, 프로그램 킬 또는 언인스톨, 업데이트 된 핑거프린트 데이터 보내기

notask – 3초 동안 sleep 후 추가 명령을 기다림

newerconfig – 다운로드 된 마이너 구성 파일 업데이트 

이 백도어는 파이썬 스크립트를 사용해 내부/외부 서브넷의 다른 리눅스 서버를 스캔하고 감염시킵니다. 또한 관리 페이지에 브루트포싱 공격을 가하는 것도 가능합니다.

이 스크립트는 대상 서버에서 아래의 RCE 취약점을 악용하려 시도합니다.

CVE-2012-0874: JBoss Enterprise 어플리케이션 플랫폼의 다중 보안 우회 취약점

CVE-2010-1871: JBoss Seam Framework 원격 코드 실행

JBoss AS 3/4/5/6: 원격 명령 실행 (exploit)

CVE-2017-10271: Oracle WebLogic wls–wsat 컴포넌트 역직렬화 RCE

CVE-2018-2894: Oracle Fusion Middleware내 Oracle WebLogic Server 컴포넌트의 취약점

Hadoop YARN ResourceManager – 명령 실행 (exploit)

CVE-2016-3088: Apache ActiveMQ 파일 서버 파일 업로드 원격 코드 실행 취약점

연구원들은 “SpeakUp의 난독화 된 페이로드와 전파 기술은 제작 중인 더욱 큰 위협의 것임이 분명합니다. 마이너 몇 개를 배포하기 위해 이와 같은 복합적인 페이로드 배열을 빌드했다고는 믿기 어렵습니다.” “이 캠페인의 배후에 있는 공격자는 언제든 더욱 공격적인 추가 페이로드를 배치할 수 있습니다.”라고 밝혔습니다.

현재 알약에서는 해당 악성코드들에 대하여 Backdoor.Linux.SpeakUp, Misc.Riskware.BitCoinMiner.Linux, Trojan.Downloader.Linux으로 탐지중에 있습니다. 

출처 : 

https://securityaffairs.co/wordpress/80706/malware/speakup-backdoor.html

https://research.checkpoint.com/speakup-a-new-undetected-backdoor-linux-trojan/