雷鋒網(wǎng)2月6日消息，Check Point的IT安全研究人員發(fā)現(xiàn)了一種名為SpeakUp的針對(duì)Linux和macOS的新惡意軟件攻擊激增。

SpeakUp是一種新的后門木馬，網(wǎng)絡(luò)犯罪分子通過(guò)惡意軟件針對(duì)6個(gè)不同Linux版本和macOS系統(tǒng)的服務(wù)器進(jìn)行攻擊。值得一提的是，該惡意軟件存儲(chǔ)了大量之前的攻擊案例，能夠優(yōu)先識(shí)別安全漏洞并有效地逃避殺毒程序。

研究人員稱：“黑客利用ThinkPHP(cve - 2018 - 20062)遠(yuǎn)程代碼執(zhí)行漏洞感染Linux和macOS服務(wù)器。 他們通常喜歡使用后門木馬執(zhí)行攻擊，并通過(guò)控制受感染的設(shè)備與C&C服務(wù)器建立一個(gè)連接，這些惡意軟件最終會(huì)幫助攻擊者獲得控制機(jī)器運(yùn)行的完整權(quán)限?！?/p>

目前尚未確認(rèn)此次攻擊背后威脅者的真實(shí)身份，但網(wǎng)絡(luò)安全研究人員認(rèn)為SpeakUp的開(kāi)發(fā)者很可能是一個(gè)昵稱為Zettabit的惡意軟件開(kāi)發(fā)人員的“杰作”。在博客中研究人員分析，盡管SpeakUp的實(shí)現(xiàn)方式不同，但它與Zettabit的開(kāi)發(fā)特點(diǎn)有很多共同之處。

據(jù)研究人員稱，SpeakUp利用的是ThinkPHP框架。在美國(guó)優(yōu)先使用的100萬(wàn)個(gè)域名中，幾乎90%都使用該框架。此外，SpeakUp可以在不被檢測(cè)到的情況下感染Mac機(jī)器，這是之前類似攻擊不曾擁有的新功能。目前，SpeakUp的主要目標(biāo)是東亞和拉丁美洲的設(shè)備，而AWS托管的設(shè)備大多是它的主要受害者。由此來(lái)看，全球約有7萬(wàn)臺(tái)服務(wù)器成為此次行動(dòng)的目標(biāo)。

Check Point的研究人員稱：“利用ThinkPHP漏洞進(jìn)行攻擊只是整個(gè)木馬感染設(shè)備的開(kāi)始。隨后，黑客將能夠修改本地cron實(shí)用程序以獲得權(quán)限，由此執(zhí)行從遠(yuǎn)程C&C服務(wù)器下載的文件、運(yùn)行shell命令或者卸載升級(jí)自己?！?/p>

此外，SpeakUp還有一個(gè)內(nèi)置的Python腳本，該腳本可以讓惡意軟件在本地網(wǎng)絡(luò)上傳播。Python腳本會(huì)使用預(yù)先定義的登錄憑據(jù)列表自動(dòng)掃描本地網(wǎng)絡(luò)以定位打開(kāi)的端口并識(shí)別最近區(qū)域的系統(tǒng)漏洞。

它還使用了遠(yuǎn)程命令執(zhí)行和Oracle融合中間件的Oracle WebLogic Server組件等7種不同的漏洞來(lái)控制未補(bǔ)丁的系統(tǒng)。在感染新機(jī)器后，惡意軟件會(huì)自動(dòng)部署到系統(tǒng)上。

據(jù)分析，攻擊者正在使用SpeakUp在受感染的設(shè)備上部署Monero加密貨幣挖礦系統(tǒng)。截至目前，該組織已經(jīng)成功制造了107枚Monero硬幣(約合4500美元)。雖然目前攻擊者正在利用中國(guó)PHP框架，但也有可能轉(zhuǎn)向其他攻擊以進(jìn)一步擴(kuò)大自己的目標(biāo)范圍。

文章來(lái)源：hackread

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。