هشدارهای افتایی
هکرها یک تروجان درپشتی جدید ایجاد کرده‌اند که قادر به اجرا روی سیستم‌های لینوکس است. این تروجان SpeakUp نام دارد که در حال حاضر در سرورهای لینوکسی مستقر در چین توزیع شده است.
به گزارش معاونت بررسی مرکز افتا، به نقل از وب‌سایت ZDNet، عوامل این موج اخیر حملات از یک اکسپلویت مربوط به چارچوب ThinkPHP برای آلوده کردن سرورها استفاده می‌کنند. هنگامی که تروجان در سیستم‌های آسیب‌پذیر قرار می‌گیرد، هکرها می توانند از آن برای تغییر ابزار cron محلی برای به دست آوردن پایداری بوت، اجرای دستورهای shell، اجرای فایل‌های دانلود شده از یک سرور C&C و بروزرسانی و یا حذف بدافزار استفاده کنند.
به گفته پژوهشگران Check Point که این درپشتی جدید را برای اولین بار کشف کردند، که SpeakUp دارای یک اسکریپت پایتون است که بدافزار را از طریق شبکه محلی گسترش می‌دهد. این اسکریپت می‌تواند شبکه‌های محلی را به منظور یافتن پورت‌های باز اسکن کند، با استفاده از یک لیست از نام‌های کاربری و گذرواژه‌های از پیش تعیین شده حملات جستجوی فراگیر (brute-force) انجام دهد و از یکی از هفت اکسپلویت زیر برای نفوذ به سیستم‌های پچ نشده استفاده کند:
•    CVE-2012-0874
•    CVE-2010-1871
•    JBoss AS 3/4/5/6
•    CVE-2017-10271 
•    CVE-2018-2894
•    Hadoop YARN ResourceManager - اجرای دستور
•    CVE-2016-3088
پژوهشگران Check Point می‌گویند که SpeakUp می‌تواند در شش توزیع لینوکس و حتی سیستم‌های macOS اجرا شود.
عوامل این حمله مشغول استفاده از SpeakUp برای راه اندازی کاوشگر ارز دیجیتالی مونرو در سرورهای آلوده هستند. تیم Check Point می‌گوید که این گروه از زمان شروع حملات خود، حدود 107 ارز مونرو را که حدود 4500 دلار ارزش دارند، استخراج کرده‌اند.
در حالیکه نویسندگان SpeakUp در حال حاضر از یک آسیب‌پذیری (CVE-2018-20062) در یک چارچوب PHP چینی استفاده می‌کنند، به راحتی می‌توانند اکسپلویت‌های دیگر را برای گسترش درپشتی خود استفاده کنند. نقشه‌ای از آلودگی‌های جاری نشان می‌دهد که قربانیان SpeakUp عمدتا در آسیا و آمریکای جنوبی هستند.
 


نشانه‌های آلودگی (IoC):
هش اسکریپت‌های SpeakUp:
•    0a4e5831a2d3115acb3e989f0f660a6f
•    0b5e1eb67be7c3020610b321f68375c1
•    968d1906be7eb8321a3afac5fde77467
•    074d7a4417d55334952d264c0345d885
•    f357f32d7c2ddfef4b5850e7506c532b
•    b6311bffcea117dceac5ccac0a243ae5
•    2adf4e4512aaafab75e8411aa7121ffa
•    a73c7b777d31b0a8ef270809e2ed6510
•    114cda60d215e44baeef22b7db0c64d5
•    8f725fc5406ebf679c5c7ade3e8d5f70
•    4a80a075c7c6b5e738a7f4b60b7b101f
•    e18749e404baec2aa29f4af001164d1b
•    1a377b5d5d2162327f0706cc84427780
•    1da94e156609d7e880c413a124bad004
•    713260a53eff05ad44aad8d6899f1c6e
•    36cda3c77ba380d6388a01aafcbaa6c7
•    0f83482368343f5c811bac84a395d2c0
•    8dd6cb5f33d25512805c70bd3db5f433
•    e4ca1e857034cbe0428d431c15ec8608
•    36502273cee61825dc97d62a3dffe729
•    f16c5a6342ccc253b1de177d3fa310b1
•    08d7674532cc226931570e6a99d5ba30
•    279c4aa955085480f3ad0c19aa36a93b
کاوشگر XMRig:
•    f79be3df4cbfe81028040796733ab07f
•    a21a3d782d30b51515834a7bf68adc8e
•    c572a10ca12f3bd9783c6d576aa080fb
•    b60ec230644b740ca4dd6fd45059a4be
•    5e6b6fcd7913ae4917b0cdb0f09bf539
•    ae875c496535be196449547a15205883
•    068d424a1db93ec0c1f90f5e501449a3
•    996e0c8190880c8bf1b8ffb0826cf30f
سرورهای C&C:
•    67[.]209.177.163
•    173[.]82.104.196
•    5[.]196.70.86
•    120[.]79.247.183
•    5[.]2.73.127/lnsqqFE2jK/pprtnp153WWW.php
•    Speakupomaha[.]com/misc/ui/images/Indxe.php
•    Linuxservers[.]000webhostapp[.]com/hp.html
•    linuxsrv134[.]xp3[.]biz


منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.