SpeakUp - Une nouvelle backdoor ciblant les serveurs Linux et MacOS
Une nouvelle backdoor cible les serveurs Linux en Asie de l’Est et en Amérique latine, y compris les machines hébergées Amazon Web Services (AWS).
Surnommé «SpeakUp», le nouveau cheval de Troie cible les vulnérabilités connues dans six distributions Linux différentes et tente de se propager en interne et au-delà via des vulnérabilités d'exécution de code à distance. Le malware a également la capacité d'infecter les systèmes d'exploitation MacOS.
Check Point a pu associer l’auteur de SpeakUp au développeur de logiciels malveillants connu sous le nom de Zettabithf. Selon Check Point, la nouvelle backdoor a beaucoup en commun avec le savoir-faire du développeur.
Pour l’infection initiale, les attaques ciblent une vulnérabilité récemment révélée dans ThinkPHP (CVE-2018-20062), un framework PHP chinois très populaire parmi les développeurs du pays. L’échantillon de la backdoor analysé ciblait une machine en Chine le 14 janvier 2019. Bien qu’il ait été soumis pour la première fois à VirusTotal le 9 janvier 2019, il n’était pas détecté par le scanner en ligne au moment de l’analyse.
Après l’infection, le cheval de Troie SpeakUp établit la communication avec le serveur de commande et de contrôle (C&C) afin d’enregistrer la machine victime. Le logiciel malveillant se rend persistant à l'aide d'une cron et d'un mutex interne afin de garantir qu'une seule instance reste toujours active.
Le serveur C&C peut envoyer trois commandes à la backdoor:
- newtask : exécute du code arbitraire, télécharge et exécute un fichier, tue ou désinstalle un programme;
- notask : passe le programme en veille pendant 3 secondes et attend une commande supplémentaire;
- newerconfig : met à jour le fichier de configuration de mineur de cryptomonnaie téléchargé.
La backdoor comprend également un script python utilisé pour analyser et infecter davantage de serveurs Linux au sein de sous-réseaux internes et externes. Le script tente de bruteforcer les panneaux d’administration et peut également analyser l’environnement réseau à la recherche de ports et de serveurs spécifiques.
En outre, le script tente d’exploiter diverses failles d’exécution de code à distance: CVE-2012-0874 (JBoss Enterprise Application Platform), CVE-2010-1871 (JBoss Seam Framework), CVE-2017-10271 (Oracle WebLogic wls-wsat), CVE-2018-2894 (Oracle Fusion Middleware) et CVE-2016-3088 (serveur de fichiers Apache ActiveMQ).
Il inclut également des exploits pour l'exécution de commande à distance JBoss AS 3/4/5/6 et un bug d'exécution de la commande Hadoop YARN ResourceManager.
En recherchant l'acteur derrière la backdoor, les chercheurs en sécurité ont découvert le projet liteHTTP GitHub, qui propose des modules assez similaires au cheval de Troie SpeakUp (téléchargement et exécution, persistance, collecte d'informations système, mise à jour automatique et désinstallation).
Le projet a été créé par un utilisateur appelé Zettabithf. Un profil sur la plateforme HackForums.net portant le même nom révèle que l'acteur pourrait être russophone et également développeur de Botnet.
«Les charges utiles et la technique de propagation obfusquées de SpeakUp sont sans aucun doute le travail d’une plus grande menace en devenir. Il est difficile d’imaginer que quiconque construirait un tel ensemble de charges utiles uniquement pour déployer quelques mineurs de crypto-monnaie. L'acteur meneur de cette campagne peut à tout moment déployer des charges supplémentaires, potentiellement plus intrusives et offensives », explique Check Point.