พบ Backdoor ตัวใหม่ ‘SpeakUp’ มุ่งโจมตีเซิร์ฟเวอร์ Linux

นักวิจัยด้านความมั่นคงปลอดภัยจาก Check Point ได้พบกับมัลแวร์ตัวใหม่เมื่อประมาณ 3 สัปดาห์ที่แล้วซึ่งตั้งชื่อว่า ‘SpeakUp’ และสามารถทำงานได้บนเซิร์ฟเวอร์ Linux ถึง 6 Distribution รวมถึง macOS ด้วย โดยขั้นแรกในโจมตีจะอาศัยช่องโหว่ของ ThinkPHP Framework ที่ถูกสร้างขึ้นและได้รับความนิยมในหมู่นักพัฒนาในจีน สำหรับขั้นตอนสุดท้ายคือเรียกติดตั้งตัวขุดเหมือง Monero


credit : Check Point

ไอเดียก็คือในขั้นแรกของการโจมตี SpeakUp จะใช้ช่องโหว่ ThinkPHP หมายเลข CVE-2018-20062 เพื่อเจาะระบบเข้าไปก่อน เมื่อเข้าไปได้แล้วก็จะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ C&C และ แก้ไข Cron Utility เพื่อทำให้อยู่รอดจากการรีบูต สำหรับคำสั่งจากเซิร์ฟเวอร์มี 3 คำสั่งหลักดังนี้ 

1.newtask – สั่งให้รันโค้ด, ดาวน์โหลดและรันไฟล์, สั่ง Kill หรือถอนการติดตั้งโปรแกรม และสั่งอัปเดตข้อมูล

2.notask – สั่ง Sleep 3 วินาทีและรอขอคำสั่งเพิ่มเติม

3.newerconfig – อัปเดตการตั้งค่าตัวขุดเหมืองที่ดาวน์โหลดเข้ามา

ขั้นที่สอง SpeakUp ยังมีสคิร์ปต์ไพธอนที่ใช้เพื่อนสแกนหาเครื่องใน LAN และพยายามเจาะเครื่อง Linux อื่นเพิ่มอีกด้วย รวมถึงสามารถทำการโจมตี Brute-force และสามารถใช้ช่องโหว่อื่นๆ อีก 6 รายการได้เพิ่มเติมดังนี้

  • CVE-2012-0874 – ช่องโหว่บน JBoss Enterprise Application 
  • JBoss 3/4/5/6 – ช่องโหว่สั่งรันคำสั่งได้จากทางไกล
  • CVE-2010-1871 – ช่องโหว่ลอบรันคำสั่งจากทางไกลบน JBoss Seam Framework
  • CVE-2010-10271 – ช่องโหว่ Deserialization RCE บน Oracle WebLogic wls-wsat
  • ช่องโหว่รันคำสั่งบนตัวจัดการทรัพยากรบน Hadoop YARN 
  • CVE-2018-2894 – ช่องโหว่บน Oracle WebLogic ในส่วนประกอบของ Fusion Middleware

Check Point ได้ติดตามการโจมตีในหลายประเทศพบว่าเหยื่อส่วนใหญ่อยู่ในจีนแต่ที่การโจมตีได้ขยายวงออกไปสาเหตุมาจากการใช้ช่องโหว่ในขึ้นที่สองเพราะพบมัลแวร์ในโซนประเทศแถวอเมริกาใต้ด้วย (ดูรูปประกอบได้ตามด้านบน) อย่างไรก็ตามเชื่อว่ากลุ่มแฮ็กเกอร์หวังผลจากการใช้ทรัพยากรบนเครื่องเหยื่อเพื่อขุดเหมืองหารายได้ซึ่งตอนนี้ทำรายได้แล้วประมาณ 4,500 ดอลล่าร์สหรัฐ

ที่มา : https://www.zdnet.com/article/security-researchers-discover-new-linux-backdoor-named-speakup/ และ https://www.securityweek.com/new-backdoor-targets-linux-servers


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Twitter ลบหลายพัน Accounts ปลอมที่มุ่งหวังทางการเมืองออกจากระบบ

Twitter ได้ออกมาเปิดเผยว่าได้ทำการลบ Accounts ปลอมออกจากระบบรวมทั้งสิ้น 4,779 รายชื่อ เนื่องจากเชื่อว่า Accounts เหล่านี้ถูกสร้างและใช้งานเพื่อหวังผลทางการเมือง คาดมีส่วนเกี่ยวข้องกับประเทศอิหร่านและรัสเซีย

แนะนำ AMD EPYC Server: อีกทางเลือกหนึ่งที่อาจช่วยลดค่าใช้จ่ายใน Data Center ขององค์กรได้อย่างคาดไม่ถึง

ท่ามกลางยุคแห่งการทำ Digital Transformation นี้ ยอดขายของ Server ทั่วโลกนั้นก็เติบโตขึ้นเป็นลำดับสอดคล้องกับความต้องการในการประมวลผลที่สูงขึ้นอย่างรวดเร็ว AMD ในฐานะของผู้พัฒนาเทคโนโลยีด้านการประมวลผลระดับโลก จึงได้นำเสนอ AMD EPYC หน่วยประมวลผลสำหรับ Server ที่ออกแบบด้วยแนวคิดต่างจาก x86 CPU ค่ายอื่นๆ เพื่อให้เหล่าธุรกิจองค์กรได้มีทางเลือกใหม่ที่คุ้มค่าในการลงทุน บทความนี้จะนำทุกท่านไปรู้จักกับ AMD EPYC Server สำหรับการใช้งานภายใน Data Center ของธุรกิจองค์กรโดยเฉพาะกันครับ