近日,Check Point的安全研究員發(fā)現(xiàn)了一種能針對Linux和Mac設(shè)備的新后門木馬“SpeakUp”,該惡意軟件存儲了大量之前的攻擊案例,能夠優(yōu)先識別安全漏洞并有效地躲避殺毒軟件的查殺。

據(jù)了解,該惡意軟件以其命令和控制(C&C)域名SpeakUpOmaha[dot]com命名,后者因后端運(yùn)行C&C代碼而受到攻擊。目前,SpeakUp后門木馬用于針對東亞和拉丁美洲服務(wù)器的加密活動(dòng),包括在AWS上托管的系統(tǒng)。

Check Point的威脅情報(bào)主管Lotem Finkelsteen表示:“SpeakUp利用了六種不同Linux發(fā)行版中的已知漏洞,能藏在設(shè)備上等待某人發(fā)送命令或其他惡意軟件進(jìn)行下一階段。例如,等待在機(jī)器上安裝第二階段惡意軟件并執(zhí)行一些命令,又或是收集密碼和攔截所有通信?！?/p>

利用ThinkPHP漏洞進(jìn)行攻擊只是整個(gè)木馬感染設(shè)備的開始。之后,黑客將能修改本地cron實(shí)用程序以獲得權(quán)限,由此執(zhí)行從遠(yuǎn)程C&C服務(wù)器下載的文件、運(yùn)行shell命令或者卸載升級自己。

此外,SpeakUp還有一個(gè)內(nèi)置的Python腳本,該腳本可以讓惡意軟件在本地網(wǎng)絡(luò)上傳播。Python腳本會(huì)使用預(yù)先定義的登錄憑據(jù)列表自動(dòng)掃描本地網(wǎng)絡(luò)以定位打開的端口并識別最近區(qū)域的系統(tǒng)漏洞。

值得注意的是,研究人員還在報(bào)告中指出,黑客利用ThinkPHP(cve -2018- 20062)遠(yuǎn)程代碼執(zhí)行漏洞感染Linux和macOS服務(wù)器。他們通常喜歡使用后門木馬執(zhí)行攻擊,并通過控制受感染的設(shè)備與C&C服務(wù)器建立一個(gè)連接,這些惡意軟件最終會(huì)幫助攻擊者獲得控制機(jī)器運(yùn)行的完整權(quán)限。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/