Une campagne d’attaque vise les serveurs Linux pour installer un nouveau cheval de Troie

Une campagne d’attaque vise les serveurs Linux pour installer un nouveau cheval de Troie

Les chercheurs en sécurité ont observé une campagne d’attaque visant les serveurs Linux pour installer des exemples de SpeakUp, un nouveau cheval de Troie de backend.

Selon Check Point Research, la campagne cible actuellement des serveurs situés en Asie de l’Est et en Amérique latine. L’attaque commence par l’exploitation de CVE-2018-20062, une vulnérabilité signalée affectant ThinkPHP. La campagne utilise ensuite des techniques d’injection de commande pour télécharger un shell PHP, qui est chargé de fournir et d’exécuter le cheval de Troie SpeakUp en tant que porte Perl Backdoor.

Lors de l’exécution, SpeakUp communique en permanence avec son serveur de commande et de contrôle (C & C) pour recevoir diverses instructions. Il peut utiliser la commande newtask pour exécuter du code arbitraire ou exécuter un fichier à partir d’un serveur distant, par exemple. Cette capacité permet à SpeakUp de créer des arrière-plans supplémentaires, chacun équipé d’un script Python conçu pour analyser et infecter davantage de serveurs Linux au sein de ses sous-réseaux internes et externes.

De plus, le cheval de Troie peut exploiter la commande newconfig pour mettre à jour le fichier de configuration de XMRig, un mineur de crypto-monnaie utilisé pour l’écoute de serveurs infectés.

Serveurs Linux sous attaque

SpeakUp n’est pas le seul malware ciblant les serveurs Linux. Au contraire, ces actifs informatiques sont attaqués par une gamme de logiciels malveillants.

En décembre 2018, la société de sécurité slovaque ESET a identifié 21 familles de logiciels malveillants Linux faisant office de backdoors OpenSSH. À peu près au même moment, Anomali Labs a dévoilé sa découverte de Linux Rabbit et Rabbot, deux familles de malwares desservies par une campagne ciblant des serveurs Linux en Russie, en Corée du Sud, au Royaume-Uni et aux États-Unis, capables d’installer des crypto-mines.

Toujours en décembre, Bleeping Computer a appris l’existence d’une nouvelle campagne utilisant des cartes IPMI non sécurisées pour infecter les serveurs Linux avec le ransomware JungleSec.

Comment se défendre contre le cheval de Troie SpeakUp

Les professionnels de la sécurité peuvent aider à se défendre contre des logiciels malveillants tels que SpeakUp en utilisant un outil de gestion unifiée des points de terminaison (UEM) pour surveiller les activités malveillantes, telles que les serveurs Linux. Les experts recommandent également de pratiquer la gestion ponctuelle des correctifs afin de protéger les terminaux contre les utilisateurs de cryptomonnaie, et d’investir dans l’éducation et la formation basée sur les rôles afin de former un effectif soucieux de la sécurité.

Clipper Malware trouvé masqué comme un service légitime sur Google Play Store Les cybercriminels ont généré 56 millions de dollars sur 12 ans avec les logiciels malveillants Monero Crypto-Mining