Bewaffnet mit einer beeindruckenden Tasche von Heldentaten und anderen Tricks zur Verbreitung, glauben Forscher, dass der neue Trojaner der Katalysator für eine bevorstehende, große Cyber-Offensive sein könnte.
LAS VEGAS - Ein Hintertür-Trojaner mit dem Namen "SpeakUp" wurde entdeckt, der die Linux-Server ausnutzt, auf denen mehr als 90 Prozent der Top 1 Million Domains in den USA laufen. Er verwendet eine komplexe Tasche mit Tricks, um Hosts zu infizieren und sich zu verbreiten, was laut Analysten darauf hindeuten könnte, dass er für eine große Offensive bereit ist, die eine große Anzahl infizierter Hosts, möglicherweise weltweit, beinhaltet.
Laut einer am Montag bei der CPX360-Veranstaltung in Las Vegas veröffentlichten Check-Point-Untersuchung wird SpeakUp (so benannt nach seiner Befehls- und Kontrolldomäne SpeakUpOmaha[dot]com) in einer Kryptomining-Kampagne eingesetzt, die an Dynamik gewinnt und bisher mehr als 70.000 Server weltweit in einem möglicherweise sehr beeindruckenden Botnetz ins Visier genommen hat.
SpeakUp zielt sowohl auf lokale Server als auch auf Cloud-basierte Rechner, wie sie von Amazon Web Services gehostet werden, und es macht auch vor Linux nicht Halt: Es hat auch die Fähigkeit, MacOS-Geräte zu infizieren.
Oded Vanunu, Leiter der Produkt-Schwachstellenforschung bei Check Point, sagte Threatpost, dass der Umfang dieses Angriffs alle Server umfasst, auf denen ThinkPHP, Hadoop Yarn, Oracle WebLogic, Apache ActiveMQ und Red Hat JBoss laufen. Und da diese Software auf virtuellen Servern eingesetzt werden kann, seien auch alle Cloud-Infrastrukturen anfällig für eine Beeinträchtigung.
Der anfängliche Infektionsvektor beginnt mit der Behebung einer kürzlich gemeldeten RCE-Schwachstelle in ThinkPHP (CVE-2018-20062); der Code verwendet Befehlsinjektionstechniken zum Hochladen einer PHP-Shell, die eine Perl-Hintertür bedient und ausführt.
Die Routine ist stark verschleiert: Mit einer GET-Anforderung wird Exploit-Code an den Zielserver gesendet. Die daraus resultierende hochgeladene PHP-Shell sendet dann eine weitere HTTP-Anforderung an den Zielserver mit einer Standard-Injektionsfunktion, die die ibus-Nutzlast abruft und speichert. Die Nutzlastausführung wird dann mit einer zusätzlichen HTTP-Anforderung gestartet. Dadurch wird das Perl-Skript ausgeführt, für zwei Sekunden in den Ruhezustand versetzt und die Datei gelöscht, um jegliche Anzeichen einer Infektion zu beseitigen.
Nach der Registrierung des Opfercomputers bei C2 stellten die Check-Point-Analysten fest, dass SpeakUp kontinuierlich alle drei Sekunden in einem festen Intervall neue Aufgaben anfordert. Der C2 kann "keine Aufgabe" sagen - oder er kann ihm sagen, dass er beliebigen Code auf dem lokalen Rechner ausführen, eine Datei von einem beliebigen entfernten Server herunterladen und ausführen, das Programm beenden oder deinstallieren oder aktualisierte Fingerabdruckdaten senden soll.
"Das Schöne ist, dass der Bedrohungsakteur auf jedem infizierten Server Fuß gefasst hat", sagte Vanunu. "Das bedeutet, dass er neue zukünftige Schwachstellen anpassen und den neuen Code einsetzen kann, der dann mit neuen Techniken weiter ausgenutzt wird. Wenn sich der Bedrohungsakteur dazu entschließt, weitere Infektionstechniken zu implementieren, könnte die Zahl der Bots leicht ansteigen.
Die Kampagne würde auch sofort skaliert, da ein Bedrohungsakteur in der Lage wäre, ein Stück Malware auf alle infizierten Hosts gleichzeitig herunterzuladen.
"Die infizierten Hosts überprüfen den C2-Server alle drei Minuten auf neue Befehle", sagte Vanunu.
"Der Bedrohungsakteur [kann auch] die infizierten Hosts an jeden beliebigen Bedrohungsakteur verkaufen und jede Art von Malware an den Höchstbietenden verteilen", fügte er hinzu.
