Linuxos szerverekre támadt egy vírus

Egy trójai program a Linux alapú kiszolgálókat vette célba, amelyeken hátsó kaput nyit, és kriptopénzt bányászik.
 
hirdetés

A kriptobányászati célokkal terjedő kártékony programok esetében nem szokatlan jelenség, hogy nagyobb teljesítménnyel rendelkező számítógépeket szemelnek ki maguknak az igencsak erőforrásigényes feladatuk végrehajtásához. Ilyen módon gyakorta szerverek is célkeresztbe kerülnek, és nemcsak a Windows-os világban. Ebből a szempontból a támadók körében nagy érdeklődésre tartanak számot például a linuxos webszerverek. E károkozók egyik legújabb képviselője a SpeakUp nevű trójai, amelyet a Check Point biztonsági kutatói vettek alaposan górcső alá.
 
A SpeakUp jelenleg elsősorban Ázsiában és Dél-Amerikában terjed, de a ténykedése korántsem ennyire jól lokalizálható. Ennek oka, hogy egyre többször bukkan fel az Amazon AWS (Amazon Web Services) révén hosztolt, nem megfelelően védett és frissített kiszolgálókon is.


Forrás: Check Point
 
A biztonsági cég vizsgálata szerint a károkozó elsősorban a kínai ThinkPHP keretrendszer egyik sebezhetőségét igyekszik a saját javára fordítani, és azon keresztül fertőz. Emellett azonban képes az alábbi szoftverek egyes sérülékenységeinek kihasználására is:
JBoss Enterprise Application Platform (CVE-2012-0874)
JBoss Seam Framework (CVE-2010-1871)
JBoss AS 3/4/5/6
Oracle WebLogic wls-wsat (CVE-2017-10271)
Oracle WebLogic Server (CVE-2018-2894)
Hadoop YARN ResourceManager
Apache ActiveMQ (CVE-2016-3088)
 
Amikor felkerül egy rendszerre, akkor arról csatlakozik a vezérlőszerveréhez, és fogadja a terjesztői által kiadott parancsokat. A trójai távolról rávehető fájlok letöltésére, futtatására, folyamatok leállítására, alkalmazások eltávolítására vagy adatok kiszivárogtatására. Ugyancsak a hátsó kapun keresztül válik frissíthetővé az a konfigurációs állománya is, amely a kriptobányászathoz szükséges alapvető információkat tartalmazza. A SpeakUp jelenleg az XMRig segítségével igyekszik minél több Monerora szert tenni.
 
Lemaradtak a víruskeresők
 
A Check Point elemzése rávilágított arra, hogy a SpeakUp első variánsát január 9-én töltötte fel valaki a VirusTotalra.


Forrás: Check Point
 
A károkozó szofisztikált felépítését jól mutatja, hogy akkor egyetlen víruskereső sem tekintette ártalmasnak az amúgy hátsó kaput építgető szerzeményt. Ez a helyzet nyilván azóta már változott, mégis jól rámutat arra, hogy többszintű védelem nélkül igencsak nehéz felvenni a kesztyűt az ilyen jellegű kártékony programokkal szemben.
Vélemények
 
  1. 4

    A VirtualBoxhoz fontos hibajavítások váltak letölthetővé.

  2. 3

    A Comodo Antivirus esetében több biztonsági rés vár befoltozásra.

  3. 1

    A Fenkrib trójai nem közvetlenül okoz károkat a számítógépeken, hanem azon ártalmas programok révén, amelyeket letölt a PC-kre.

 
Partnerhírek
​Vírusok ihlette művészeti kiállítás nyílt Rotterdamban

Ha az elkövetkező időszakban Hollandiában, közelebbről Rotterdamban jártok, akkor feltétlenül keressétek fel a nem túl szokványos művészeti kiállítást, ahol a legrégebbi vírusok ihlette művészeti alkotásokban gyönyörködhetünk.

Windows sérülékenységet kihasználó kártevő a láthatáron

​Az ESET szakemberei nemrégiben fedeztek fel és elemeztek egy új 0-day sebezhetőséget kihasználó programot (exploit), amely kelet-európai célpontok ellen irányult.

hirdetés
Közösség
1