雷鋒網(wǎng)2月6日消息，Check Point的IT安全研究人員發(fā)現(xiàn)了一種名為SpeakUp的針對Linux和macOS的新惡意軟件攻擊激增。

SpeakUp是一種新的后門木馬，網(wǎng)絡(luò)犯罪分子通過惡意軟件針對6個不同Linux版本和macOS系統(tǒng)的服務器進行攻擊。值得一提的是，該惡意軟件存儲了大量之前的攻擊案例，能夠優(yōu)先識別安全漏洞并有效地逃避殺毒程序。

研究人員稱：“黑客利用ThinkPHP(cve - 2018 - 20062)遠程代碼執(zhí)行漏洞感染Linux和macOS服務器。 他們通常喜歡使用后門木馬執(zhí)行攻擊，并通過控制受感染的設(shè)備與C&C服務器建立一個連接，這些惡意軟件最終會幫助攻擊者獲得控制機器運行的完整權(quán)限?！?/p>

目前尚未確認此次攻擊背后威脅者的真實身份，但網(wǎng)絡(luò)安全研究人員認為SpeakUp的開發(fā)者很可能是一個昵稱為Zettabit的惡意軟件開發(fā)人員的“杰作”。在博客中研究人員分析，盡管SpeakUp的實現(xiàn)方式不同，但它與Zettabit的開發(fā)特點有很多共同之處。

據(jù)研究人員稱，SpeakUp利用的是ThinkPHP框架。在美國優(yōu)先使用的100萬個域名中，幾乎90%都使用該框架。此外，SpeakUp可以在不被檢測到的情況下感染Mac機器，這是之前類似攻擊不曾擁有的新功能。目前，SpeakUp的主要目標是東亞和拉丁美洲的設(shè)備，而AWS托管的設(shè)備大多是它的主要受害者。由此來看，全球約有7萬臺服務器成為此次行動的目標。

Check Point的研究人員稱：“利用ThinkPHP漏洞進行攻擊只是整個木馬感染設(shè)備的開始。隨后，黑客將能夠修改本地cron實用程序以獲得權(quán)限，由此執(zhí)行從遠程C&C服務器下載的文件、運行shell命令或者卸載升級自己?！?/p>

此外，SpeakUp還有一個內(nèi)置的Python腳本，該腳本可以讓惡意軟件在本地網(wǎng)絡(luò)上傳播。Python腳本會使用預先定義的登錄憑據(jù)列表自動掃描本地網(wǎng)絡(luò)以定位打開的端口并識別最近區(qū)域的系統(tǒng)漏洞。

它還使用了遠程命令執(zhí)行和Oracle融合中間件的Oracle WebLogic Server組件等7種不同的漏洞來控制未補丁的系統(tǒng)。在感染新機器后，惡意軟件會自動部署到系統(tǒng)上。

據(jù)分析，攻擊者正在使用SpeakUp在受感染的設(shè)備上部署Monero加密貨幣挖礦系統(tǒng)。截至目前，該組織已經(jīng)成功制造了107枚Monero硬幣(約合4500美元)。雖然目前攻擊者正在利用中國PHP框架，但也有可能轉(zhuǎn)向其他攻擊以進一步擴大自己的目標范圍。

文章來源：hackread

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。