En ny kampanj med skadlig kod sprider sig just nu över världen. Trojanen, som upptäckts av it-säkerhetsföretaget Checkpoint, heter SpeakUp och inriktar sig på att öppna en bakdörr på infekterade maskiner och låta sig fjärrstyras av kommando- och kontrollservrar (C&C), skriver Bleeping Computer.

Enligt Checkpoint utnyttjar trojanen flera sårbarheter i sex olika Linuxdistributioner och Mac OS X, men lyckas även undvika upptäckt av något av de antivirussystem som finns på VirusTotal.

Checkpoint skriver i en detaljerad rapport att över 70 000 servrar hittills infekterats, med början i Ostasien och Latinamerika, inklusive servrar på Amazons AWS-moln, och att trojanen sprider sig snabbt, inte minst på grund av att den bär med sig kapacitet att sprida sig inom ett infekterat internt nätverk.

SpeakUp infekterar i tre steg:

  1. Initialt utnyttjar den sårbarheten CVE-2018-20062 (ThinkPHP Remote Code Execution) där den laddar upp ett php-skal som öppnar en bakdörr i Perl genom att använda en teknik för kommando-injektion för att skicka kommandon via en GET-förfrågan med "module”-parametern "s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^>index.php”.
  2. SpeakUp injekterar en bakdörr genom att hämta nyttolasten med ett ibus-script i Perl och lagra den i katalogen "/tmp/e3ac24a0bcddfacd010a6c10f4a814bc”.
  3. Scriptet körs omedelbart med hjälp av en http-förfrågan som utformats för att köra den perl-baserade bakdörren, pausa ett par sekunder, och radera filer för att städa upp alla spår.

När SpeakUp väl fått fotfäste signalerar den omedelbart till sin C&C-server att den infekterat en ny server och skickar information om servern till det nätverk som nu kan fjärrkontrolleras av förövarna. Vilka dessa är eller ens hitta spår av dem är svårt då kommunikationen är väl krypterad och använder sig av multipla C&C-domäner och ip-adresser.

De infektioner Checkpoint sett hittills går ut på att placera skadlig kod för att bryta kryptovaluta, men eftersom de infekterade maskinerna kan fjärrstyras och fjärr-exekvera kod finns det egentligen ingen begränsning för vilken nyttolast som kan placeras på de infekterade servrarna.

Läs också:
Se upp för Google Update, kan vara trojan
Så vill Google stoppa webbens bondfångare