Das Forschungsteam von Check Point hat eine neue Bedrohung für Linux-Systeme entdeckt. Cyberkriminelle nutzen bekannte Sicherheitslücken, um einen Trojaner einzuschleusen, der eine Hintertür für weitere Schadprogramme öffnet.
Das Programm heißt ‚Speak Up‘, die Sicherheitslücken existieren in sechs verschiedenen Varianten des Linux-Betriebssystems. Die Sicherheitsforscher fanden heraus, dass der Angriff viele Server weltweit betrifft, darunter sogar solche, die über den Cloud-Dienst Amazon Web Services (AWS) laufen.
‚Speak Up‘ weitet seine Angriffe aus. Derzeit sind besonders Server in Lateinamerika und Ostasien die Ziele. Der Trojaner breitet sich vor allem innerhalb des infizierten Subnetzes aus, erreicht aber auch neue IP-Adressen außerhalb. Er nutzt Schwachstellen in der Ausführung von Remote-Codes und ist in der Lage, MAC-Geräte zu infizieren und auch dort eine Hintertür einzubauen.
Die genaue Identität der Cyberkriminellen, die hinter dem neuen Trojaner stecken, ist unbekannt. Allerdings fand Check Point heraus, dass die bekannte Hacker-Gruppe Zettabit hinter der Kampagne stecken könnte. Die Bauweise ihrer Malware und des neuen Trojaners sei sehr ähnlich.
In drei kurzen Schritten zur Hintertür
‚Speak Up‘ greift in drei Schritten an. Zuerst sendet das Programm über eine Schwachstelle in ThinkPHP einen Befehl als Fernzugriff an den anvisierten Server. Eine HTTP-Anfrage geht als zweites an den Server, die dazu dient, eine Hintertür zu erstellen.
Im dritten Schritt öffnet ein weiterer Befehl über HTTP diese Hintertür, was zusätzlich das Perl-Script auslöst, dann den Trojaner für zwei Sekunden in den Ruhezustand versetzt, um ihn danach zu löschen und so jede Spur zu verwischen.
Die infizierten Server werden mit einer ‚Victim-ID‘ im Zentralrechner (C&C) des Trojaners registriert. So kann der C&C neue Befehle an den Trojaner senden, um verschiedene Dateien auf den Server herunterzuladen und auszuführen.
‚Speak Up‘ ist wohl nur der Anfang eines größeren Angriffs
Wer hinter dem Trojaner steckt ist unklar, aber die Forscher sind sicher, dass ‚Speak Up‘ nur der Beginn einer größeren Attacke ist, einer neuen Kampagne für Krypto-Mining. Zu aufwendig sei die Programmierung der Malware.