Zespół Check Point Research wykrył nową kampanię wykorzystującą serwery oparte na Linuksie w celu zaszczepienia nowego trojana. SpeakUp wykorzystuje znane luki w sześciu różnych dystrybucjach Linuksa, a atak kierowany jest na serwery na całym świecie, w tym na Amazon Web Services.
Naukowcy z Check Point odkryli nową kampanię wykorzystującą serwery Linux do wszczepienia nowego backdoora, który omija wszystkich dostawców zabezpieczeń. Nowy trojan, nazwany „SpeakUp” po jednej z jego nazw command&control, wykorzystuje znane luki w sześciu różnych dystrybucjach Linuksa.
SpeakUp działa wewnętrznie, w zainfekowanej podsieci, a także poza nią, wykorzystując luki w zabezpieczeniach do zdalnego uruchamiania kodu. Ponadto SpeakUp zaprezentował możliwość infekowania urządzeń Mac z niewykrytym backdoorem. Jak wykazują eksperci, trojan ten dostarcza aktualnie XMRig Miner i jest rozprzestrzeniany przez serię exploitów opartych na komendach otrzymywanych z centrum kontroli (control center). Do tej pory zainfekował głównie komputery w Azji Wschodniej i Ameryce Łacińskiej, w tym niektóre serwery hostowane przez AWS.
Podczas gdy dokładna tożsamość hakera stojącego za tymi atakiem, wciąż pozostaje niepotwierdzona, badacze Check Pointa byli w stanie powiązać autora SpeakUp z deweloperem szkodliwego oprogramowania pod nazwą Zettabit. Mimo że SpeakUp jest implementowany inaczej, ma wiele wspólnego z dotychczasowymi działaniami Zettabit.
Początkowy wektor infekcji nakierowany był na niedawno zgłoszoną lukę w ThinkPHP. Próbka, którą przeanalizował Check Point, została zaobserwowana na komputerze w Chinach 14 stycznia 2019 roku i została po raz pierwszy przesłana do VirusTotal w dniu 9 stycznia 2019 roku.
