Breaking News

พบ Backdoor ตัวใหม่ ‘SpeakUp’ มุ่งโจมตีเซิร์ฟเวอร์ Linux

นักวิจัยด้านความมั่นคงปลอดภัยจาก Check Point ได้พบกับมัลแวร์ตัวใหม่เมื่อประมาณ 3 สัปดาห์ที่แล้วซึ่งตั้งชื่อว่า ‘SpeakUp’ และสามารถทำงานได้บนเซิร์ฟเวอร์ Linux ถึง 6 Distribution รวมถึง macOS ด้วย โดยขั้นแรกในโจมตีจะอาศัยช่องโหว่ของ ThinkPHP Framework ที่ถูกสร้างขึ้นและได้รับความนิยมในหมู่นักพัฒนาในจีน สำหรับขั้นตอนสุดท้ายคือเรียกติดตั้งตัวขุดเหมือง Monero


credit : Check Point

ไอเดียก็คือในขั้นแรกของการโจมตี SpeakUp จะใช้ช่องโหว่ ThinkPHP หมายเลข CVE-2018-20062 เพื่อเจาะระบบเข้าไปก่อน เมื่อเข้าไปได้แล้วก็จะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ C&C และ แก้ไข Cron Utility เพื่อทำให้อยู่รอดจากการรีบูต สำหรับคำสั่งจากเซิร์ฟเวอร์มี 3 คำสั่งหลักดังนี้ 

1.newtask – สั่งให้รันโค้ด, ดาวน์โหลดและรันไฟล์, สั่ง Kill หรือถอนการติดตั้งโปรแกรม และสั่งอัปเดตข้อมูล

2.notask – สั่ง Sleep 3 วินาทีและรอขอคำสั่งเพิ่มเติม

3.newerconfig – อัปเดตการตั้งค่าตัวขุดเหมืองที่ดาวน์โหลดเข้ามา

ขั้นที่สอง SpeakUp ยังมีสคิร์ปต์ไพธอนที่ใช้เพื่อนสแกนหาเครื่องใน LAN และพยายามเจาะเครื่อง Linux อื่นเพิ่มอีกด้วย รวมถึงสามารถทำการโจมตี Brute-force และสามารถใช้ช่องโหว่อื่นๆ อีก 6 รายการได้เพิ่มเติมดังนี้

  • CVE-2012-0874 – ช่องโหว่บน JBoss Enterprise Application 
  • JBoss 3/4/5/6 – ช่องโหว่สั่งรันคำสั่งได้จากทางไกล
  • CVE-2010-1871 – ช่องโหว่ลอบรันคำสั่งจากทางไกลบน JBoss Seam Framework
  • CVE-2010-10271 – ช่องโหว่ Deserialization RCE บน Oracle WebLogic wls-wsat
  • ช่องโหว่รันคำสั่งบนตัวจัดการทรัพยากรบน Hadoop YARN 
  • CVE-2018-2894 – ช่องโหว่บน Oracle WebLogic ในส่วนประกอบของ Fusion Middleware

Check Point ได้ติดตามการโจมตีในหลายประเทศพบว่าเหยื่อส่วนใหญ่อยู่ในจีนแต่ที่การโจมตีได้ขยายวงออกไปสาเหตุมาจากการใช้ช่องโหว่ในขึ้นที่สองเพราะพบมัลแวร์ในโซนประเทศแถวอเมริกาใต้ด้วย (ดูรูปประกอบได้ตามด้านบน) อย่างไรก็ตามเชื่อว่ากลุ่มแฮ็กเกอร์หวังผลจากการใช้ทรัพยากรบนเครื่องเหยื่อเพื่อขุดเหมืองหารายได้ซึ่งตอนนี้ทำรายได้แล้วประมาณ 4,500 ดอลล่าร์สหรัฐ

ที่มา : https://www.zdnet.com/article/security-researchers-discover-new-linux-backdoor-named-speakup/ และ https://www.securityweek.com/new-backdoor-targets-linux-servers


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

IBM เผยสร้าง Quantum Safe Tape Drive สำเร็จแล้ว

IBM ได้ออกมาเผยถึงผลงานจากทีม IBM Research ที่ Switzerland ร่วมกับทีม IBM Tape Developer ที่ได้ใช้เวลา 10 เดือนในการพัฒนาเทคโนโลยี Quantum Safe Tape Drive ซึ่งเข้ารหัสข้อมูลบน Tape ด้วยวิธีการที่ทนทานต่อพลังประมวลผลของ Quantum Computer ในอนาคตได้สำเร็จ

ซื้อไม่หยุด! VMware เผยแผนเข้าซื้อกิจการ Intrinsic ผู้พัฒนาเทคโนโลยีความปลอดภัยบน Serverless Computing

VMware ได้ออกมายืนยันถึงแผนการเข้าซื้อกิจการของ Instrinsic บริษัท Startup ด้าน Security สำหรับ Serverless Computing โดยไม่เปิดเผยมูลค่า