Linuxos szerverekre támadt egy vírus

Egy trójai program a Linux alapú kiszolgálókat vette célba, amelyeken hátsó kaput nyit, és kriptopénzt bányászik.
 

A kriptobányászati célokkal terjedő kártékony programok esetében nem szokatlan jelenség, hogy nagyobb teljesítménnyel rendelkező számítógépeket szemelnek ki maguknak az igencsak erőforrásigényes feladatuk végrehajtásához. Ilyen módon gyakorta szerverek is célkeresztbe kerülnek, és nemcsak a Windows-os világban. Ebből a szempontból a támadók körében nagy érdeklődésre tartanak számot például a linuxos webszerverek. E károkozók egyik legújabb képviselője a SpeakUp nevű trójai, amelyet a Check Point biztonsági kutatói vettek alaposan górcső alá.
 
A SpeakUp jelenleg elsősorban Ázsiában és Dél-Amerikában terjed, de a ténykedése korántsem ennyire jól lokalizálható. Ennek oka, hogy egyre többször bukkan fel az Amazon AWS (Amazon Web Services) révén hosztolt, nem megfelelően védett és frissített kiszolgálókon is.


Forrás: Check Point
 
A biztonsági cég vizsgálata szerint a károkozó elsősorban a kínai ThinkPHP keretrendszer egyik sebezhetőségét igyekszik a saját javára fordítani, és azon keresztül fertőz. Emellett azonban képes az alábbi szoftverek egyes sérülékenységeinek kihasználására is:
JBoss Enterprise Application Platform (CVE-2012-0874)
JBoss Seam Framework (CVE-2010-1871)
JBoss AS 3/4/5/6
Oracle WebLogic wls-wsat (CVE-2017-10271)
Oracle WebLogic Server (CVE-2018-2894)
Hadoop YARN ResourceManager
Apache ActiveMQ (CVE-2016-3088)
 
Amikor felkerül egy rendszerre, akkor arról csatlakozik a vezérlőszerveréhez, és fogadja a terjesztői által kiadott parancsokat. A trójai távolról rávehető fájlok letöltésére, futtatására, folyamatok leállítására, alkalmazások eltávolítására vagy adatok kiszivárogtatására. Ugyancsak a hátsó kapun keresztül válik frissíthetővé az a konfigurációs állománya is, amely a kriptobányászathoz szükséges alapvető információkat tartalmazza. A SpeakUp jelenleg az XMRig segítségével igyekszik minél több Monerora szert tenni.
 
Lemaradtak a víruskeresők
 
A Check Point elemzése rávilágított arra, hogy a SpeakUp első variánsát január 9-én töltötte fel valaki a VirusTotalra.


Forrás: Check Point
 
A károkozó szofisztikált felépítését jól mutatja, hogy akkor egyetlen víruskereső sem tekintette ártalmasnak az amúgy hátsó kaput építgető szerzeményt. Ez a helyzet nyilván azóta már változott, mégis jól rámutat arra, hogy többszintű védelem nélkül igencsak nehéz felvenni a kesztyűt az ilyen jellegű kártékony programokkal szemben.
Vélemények
 
  1. 4

    A Google 39 biztonsági rést foltozott be a Chrome böngészőn.

  2. 4

    A Fujifilm FCR röntgen berendezései kapcsán egy súlyos sérülékenységre derült fény.

  3. 1

    A Scranos trójai rootkit technikák alkalmazásával éri el, hogy nehéz legyen kiszúrni azokon a rendszereken, amelyekről adatokat lop.

 
Partnerhírek
​Törvény az álhírek és a zaklatás ellen

A brit kormány a közösségi oldalakat működtető vállalatokat vonná felelősségre a platformjaik segítségével terjesztett ártalmas online viselkedéséért és tartalmakért.

​EU-s GDPR vizsgálat indul a Microsoft ellen

Az ellenőrzést a holland kormány vizsgálatának eredményei indították el, mely szerint a redmondi óriás termékei nem GDPR-kompatibilisek.

hirdetés
Közösség
1