Categories: SicherheitVirus

SpeakUp: Sicherheitsforscher entdecken neue Linux-Backdoor

Sicherheitsforscher von CheckPoint haben Mitte Januar eine neue Backdoor für Linux-Betriebssysteme entdeckt. Sie wird von einem Trojaner namens SpeakUp eingerichtet, der derzeit vor allem an Linux-Server in China verteilt wird. Die Hintermänner nutzen einen Exploit für das ThinkPHP-Framework, um Systeme mit der Schadsoftware zu infizieren.

Sobald der Trojaner in einem System eingeschleust ist, können die Hacker das lokale Cron-Werkzeug nutzen, um die Hintertür mit jedem Bootvorgang zu starten, Shell-Befehle auszuführen und Dateien von einem entfernten Befehlsserver herunterzuladen und auszuführen. Es ist ihnen außerdem möglich, den Trojaner zu aktualisieren oder zu deinstallieren.

Laut CheckPoint nutzt die Schadsoftware zudem ein eingebautes Python-Skript, um sich im gesamten lokalen Netzwerk zu verteilen. Das Skript sucht nach offenen Ports und greift erreichbare Systeme per Brute Forde an. Anmeldedaten entnimmt der Trojaner einer mitgelieferten Liste mit Nutzernamen und Passwörtern. Zudem stehen SpeakUp sieben Exploits zur Verfügung, um die Kontrolle über anfällige Systeme zu übernehmen. Dabei handelt es sich um bekannte Schwachstellen in JBoss Enterprise Application, JBoss Seam Framework, Oracle WebLogic, Hadoop YARN Resource Manager und Apache Active MQ Fileserver.

Infizierte Systeme fanden die Forscher aber nicht nur in China, sondern auch in Indien und mehreren lateinamerikanischen Ländern. Auch auf Amazon Web Services gehostete Maschinen sollen betroffen sein. Bei Virustotal wurde der Schädling erstmals am 9. Januar 2019 eingereicht. Bis einschließlich wurde er zudem von Virustotal nicht als schädlich eingestuft, sprich von keinem handelsüblichen Sicherheitsprogramm erkannt.

Derzeit befällt SpeakUp sechs verschiedene Linux-Distributionen. Darüber hinaus soll die Malware aber auch in der Lage sein, Rechner mit Apples Desktopbetriebssystem macOS zu infizieren.

Die Herkunft der Hintermänner konnte CheckPoint indes nicht bestätigen. Allerdings vermuten die Forscher aufgrund von Ähnlichkeiten des Codes von SpeakUp eine Verbindung zu einem Malware-Autor namens Zettabit. CheckPoint weist zudem darauf hin, dass die Gruppe hinter SpeakUp die bisher am besten organisierten Hacker sind, die das ThinkPHP-Ökosystem ins Visier genommen haben.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Google-Forscher entdeckt schwerwiegende Sicherheitslücke in Mozillas NSS-Bibliothek

Ein Angreifer kann Speicherbereiche mit eigenem Code überschreiben. Der Mozilla-Browser Firefox ist aber nicht betroffen.

19 Minuten ago

Forscher warnen vor unsicheren Cloud-Computing-Diensten

Sie richten 320 Honeypots mit unsicher konfigurieren Diensten sowie schwachen Zugangskennwörtern ein. Bereits nach 24…

57 Minuten ago

Online-Handel unter Bot-Beschuss

Unter dem Motto „Es ist ein Bot entsprungen“ machen Hacker dem Online-Handel dieses Weihnachten erneut…

2 Stunden ago

Mit Neo zu Cloud-Native-Ufern

OutSystems fokussiert sich auf Lösungen für die Low-Code-Programmierung. Dieses Verfahren zur Softwareerstellung ohne tiefgehende Programmierkenntnisse…

2 Stunden ago

Netzwerktransformation mit NaaS

Viele Netzwerk-Admins achten in erster Linie auf die Konnektivität. Netzwerk as a Service (NaaS) kann…

6 Stunden ago

ONLYOFFICE: Partnerprogramm bietet zahlreiche Vorteile für neue Reseller

Wer seinen Kunden im Rahmen seiner Softwarelösung, IT-Services oder einfach nur als Reseller die Open-Source-Kollaborationsplattform…

7 Stunden ago