Segurança da Informação – Pesquisadores de segurança observaram uma campanha de ataque cibernético direcionada a servidores Linux para instalação do Trojan Speak Up (backdoor trojan).
De acordo com a Check Point Research, a campanha está atualmente segmentando servidores no leste da Ásia e na América Latina.
O ataque começa com a exploração do CVE-2018-20062, uma vulnerabilidade relatada que afeta o ThinkPHP.
A campanha de ataque então usa técnicas de injeção de comando (command injection techniques) para carregar um shell PHP, que é responsável por entregar e executar o Trojan do SpeakUp como um backdoor do Perl.
Após a execução, o SpeakUp se comunica continuamente com seu servidor de comando e controle (C & C) para receber uma variedade de instruções. Pode usar o comando newtask para executar código arbitrário ou executar um arquivo de um servidor remoto, por exemplo.
Essa capacidade permite que o Speak Up forneça backdoors adicionais, cada um dos quais vem equipado com um script Python projetado para varrer e infectar mais servidores Linux, dentro de suas sub-redes internas e externas.
Além disso, o Trojan pode aproveitar o comando newconfig para atualizar o arquivo de configuração do XMRig, um minerador de criptomoedas que serve para escutar servidores infectados.
Servidores Linux sob ataque
O trojan Speak Up não é o único malware que direciona os servidores Linux. Pelo contrário, esses ativos de TI estão sob ataque de uma série de softwares mal-intencionados.
Em dezembro de 2018, a empresa de segurança eslovaca ESET identificou 21 famílias de malware Linux que servem como backdoors do OpenSSH.
Na mesma época, a Anomali Labs revelou sua descoberta do Linux Rabbit e do Rabbot, duas famílias de malware atendidas por uma campanha de ataque direcionada a servidores Linux na Rússia, Coréia do Sul, Reino Unido e Estados Unidos, ambos capazes de instalar mineiros criptográficos.
Também em dezembro, a Bleeping Computer tomou conhecimento de uma nova campanha que alavancou placas não protegidas de IPMI (Intelligent Platform Management Interface) para infectar servidores Linux com o ransomware JungleSec.
Como se defender contra o Trojan Speak Up
Os profissionais de segurança da informação podem ajudar na defesa contra malwares como o Speak Up, utilizando uma ferramenta UEM (Unified Endpoint Management) para monitorar ativos como servidores Linux em busca de atividades maliciosas.
Os especialistas também recomendam praticar o gerenciamento de patches oportunamente para defender endpoints contra mineiros de criptomoedas e investir em educação, treinamento baseado em funções e em políticas de segurança rígidas, para ajudar a cultivar uma força de trabalho com reconhecimento de segurança.
Para os profissionais da segurança da informação é fundamental o acompanhamento desta nova campanha de ataques que está fazendo grandes estragos em vários países.
Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.
Leia também:
- Segurança da Informação – Nova ferramenta de proxy reverso pode ignorar autenticação de dois fatores e automatizar ataques de phishing.
- Segurança da Informação – Vulnerabilidade crítica em dispositivos CISCO expõe milhares de redes de pequenas e médias empresas.
- Segurança da Informação – Como proteger sua empresa do próximo ataque virtual.
- Segurança da Informação – Novas falhas de escalonamento de privilégios Systemd afetam a maioria das distribuições Linux.
- Segurança da Informação – Trojan de roubo de informações MobSTSPY se torna global com o Google Play.
- Segurança da Informação – Código malicioso Rogue Developer infecta amplamente o módulo NodeJS para roubar bitcoins.
- Segurança da Informação – Como um ataque tipo SamSam acontece e o que você pode fazer para prevenir.
- Segurança da Informação – O que é Confiança Zero? Proteja a Transformação Digital.
- Segurança da Informação – Como proteger uma rede corporativa, servidores e estações de trabalho.
- Práticas recomendadas de segurança física de um Data Center.
- Ransomware Ryuk surge em campanha altamente segmentada e altamente lucrativa.
- Pesquisadores desenvolveram Malware Furtivo com Inteligência Artificial.
- Monitoramento Contínuo de Segurança da Informação para combate a ameaças contínuas.