SpeakUp Backdoor
O SpeakUp Backdoor é uma campanha ameaçadora que está sendo usada para introduzir Trojans de backdoor nos dispositivos Linux. Embora o Linux seja geralmente considerado um sistema operacional seguro, porque muitos desenvolvedores de malware o visam (preferindo o onipresente Windows para ataques de malware), esses dispositivos ainda podem estar vulneráveis a ataques. O SpeakUp Backdoor recebe esse nome porque um de seus servidores de Comando e Controle está localizado na América do Sul. O SpeakUp Backdoor é usado para coletar informações sobre os dispositivos de computador das vítimas atualmente, enviando essas informações para os seus servidores de Comando e Controle.
Índice
Por Que o SpeakUp Backdoor é Ameaçador
O Trojan SpeakUp Backdoor tentará acessar os painéis do administrador usando métodos de força bruta, tentando vários nomes de usuário e senhas em uma lista carregada. O Trojan SpeakUp Backdoor também procurará determinadas portas e analisará a rede do dispositivo infectado na tentativa de explorar vulnerabilidades no servidor de destino. Parece que o Trojan SpeakUp Backdoor está inacabado atualmente, pois parece não ter alguns recursos ameaçadores. É provável que o Trojan SpeakUp Backdoor continue a ser desenvolvido pelos criminosos para realizar ataques mais ameaçadores aos servidores Linux.
A Campanha do Trojan SpeakUp Backdoor
O Trojan SpeakUp Backdoor tem como alvo seis distribuições Linux diferentes, além de dispositivos que usam o sistema operacional MacOS. O Trojan SpeakUp Backdoor é distribuído pela exploração de várias vulnerabilidades de segurança conhecidas e inclui recursos que permitem evitar vários programas de segurança conhecidos. O Trojan SpeakUp Backdoor foi projetado para ser executado em segundo plano silenciosamente, sem alertar a vítima de sua presença. Embora a maioria dos usuários individuais de computador não use Linux, é importante observar que a tecnologia de servidor usada para executar mais de noventa por cento dos principais domínios nos Estados Unidos é vulnerável aos ataques do SpeakUp Backdoor Trojan. Atualmente, ele está sendo usado para direcionar servidores no Leste Asiático e na América Latina. A campanha SpeakUp Backdoor Trojan parece explorar as seguintes vulnerabilidades conhecidas:
CVE-2012-0874: Vulnerabilidades de desvio de segurança múltipla da plataforma de aplicativos JBoss Enterprise.
CVE-2010-1871: Execução remota de código do JBoss Seam Framework
JBoss AS 3/4/5/6: Execução remota de comandos
CVE-2017-10271: RCE de desserialização de componente do Oracle WebLogic wls-wsat
CVE-2018-2894: Vulnerabilidade no componente Oracle WebLogic Server do Oracle Fusion Middleware.
Hadoop YARN ResourceManager - Execução de comando
CVE-2016-3088: Vulnerabilidade de execução remota de código no upload de arquivos do servidor de arquivos Apache ActiveMQ.
O Tamanho da Campanha do Trojan SpeakUp Backdoor
Os pesquisadores de malware não confirmaram a identidade dos atacantes por trás do Trojan SpeakUp Backdoor. No entanto, é possível que o Trojan SpeakUp Backdoor tenha alguma conexão com malware desenvolvido por um desenvolvedor conhecido como Zettabit. O Trojan SpeakUp Backdoor está sendo usado para entregar cargas úteis que consistem principalmente no XMRig, uma ameaça de malware usada para extrair moeda digital usando os recursos do dispositivo infectado, causando lentidão ou instabilidade como resultado. Embora isso seja ameaçador, a carga útil entregue pode ser muito pior. Não há razão para confiar que os criminosos não possam avançar para cargas úteis mais avançadas depois de conseguirem se infiltrar em dispositivos usando o Trojan SpeakUp Backdoor. Recomenda-se aos administradores de servidores que estejam cientes da existência da campanha SpeakUp Backdoor Trojan e que tomem medidas para garantir que seus dispositivos e redes estejam protegidos contra os ataques do SpeakUp Backdoor Trojan. Algumas proteções básicas incluem o uso de um bom software de segurança, senhas fortes e as atualizações de segurança mais recentes para vulnerabilidades conhecidas.
