Categories: SicherheitVirus

SpeakUp: Sicherheitsforscher entdecken neue Linux-Backdoor

Sicherheitsforscher von CheckPoint haben Mitte Januar eine neue Backdoor für Linux-Betriebssysteme entdeckt. Sie wird von einem Trojaner namens SpeakUp eingerichtet, der derzeit vor allem an Linux-Server in China verteilt wird. Die Hintermänner nutzen einen Exploit für das ThinkPHP-Framework, um Systeme mit der Schadsoftware zu infizieren.

Sobald der Trojaner in einem System eingeschleust ist, können die Hacker das lokale Cron-Werkzeug nutzen, um die Hintertür mit jedem Bootvorgang zu starten, Shell-Befehle auszuführen und Dateien von einem entfernten Befehlsserver herunterzuladen und auszuführen. Es ist ihnen außerdem möglich, den Trojaner zu aktualisieren oder zu deinstallieren.

Laut CheckPoint nutzt die Schadsoftware zudem ein eingebautes Python-Skript, um sich im gesamten lokalen Netzwerk zu verteilen. Das Skript sucht nach offenen Ports und greift erreichbare Systeme per Brute Forde an. Anmeldedaten entnimmt der Trojaner einer mitgelieferten Liste mit Nutzernamen und Passwörtern. Zudem stehen SpeakUp sieben Exploits zur Verfügung, um die Kontrolle über anfällige Systeme zu übernehmen. Dabei handelt es sich um bekannte Schwachstellen in JBoss Enterprise Application, JBoss Seam Framework, Oracle WebLogic, Hadoop YARN Resource Manager und Apache Active MQ Fileserver.

Infizierte Systeme fanden die Forscher aber nicht nur in China, sondern auch in Indien und mehreren lateinamerikanischen Ländern. Auch auf Amazon Web Services gehostete Maschinen sollen betroffen sein. Bei Virustotal wurde der Schädling erstmals am 9. Januar 2019 eingereicht. Bis einschließlich wurde er zudem von Virustotal nicht als schädlich eingestuft, sprich von keinem handelsüblichen Sicherheitsprogramm erkannt.

Derzeit befällt SpeakUp sechs verschiedene Linux-Distributionen. Darüber hinaus soll die Malware aber auch in der Lage sein, Rechner mit Apples Desktopbetriebssystem macOS zu infizieren.

Die Herkunft der Hintermänner konnte CheckPoint indes nicht bestätigen. Allerdings vermuten die Forscher aufgrund von Ähnlichkeiten des Codes von SpeakUp eine Verbindung zu einem Malware-Autor namens Zettabit. CheckPoint weist zudem darauf hin, dass die Gruppe hinter SpeakUp die bisher am besten organisierten Hacker sind, die das ThinkPHP-Ökosystem ins Visier genommen haben.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Neue Datenanalyse-Software für die Thüringer Polizei

Ob schnelles Bild zur Lage, kollaborative Ermittlung oder strategische Analysen auf Basis von polizeilichen Vorgängen:…

14 Stunden ago

US-Bundesstaat Arizona verklagt Google wegen Täuschung von Verbrauchern

Es geht um die Sammlung von Standortdaten. Der Generalstaatsanwalt von Arizona unterstellt eine fehlende Zustimmung…

15 Stunden ago

Poco F2 Pro: Xiaomi erhöht heimlich Preis um 100 Euro

Statt 499 Euro verlangt Xiaomi für das Poco F2 Pro nun 599,90 Euro. Das Unternehmen…

16 Stunden ago

Handelsstreit mit USA: Auslieferung von Huawei-CFO rückt näher

Der Supreme Court lehnt eine Einstellung des Auslieferungsverfahrens ab. Es sieht genug Anhaltspunkte für eine…

16 Stunden ago

Bug-Bounty-Plattform HackerOne gibt 100 Millionen Dollar für Sicherheitslücken aus

Für die ersten 20 Millionen Dollar benötigt das Unternehmen noch fünf Jahre. Danach kommen in…

18 Stunden ago

Forscher finden 26 USB-Bugs in Linux, Windows, macOS und FreeBSD

Sie entwickeln ein spezielles Fuzzing-Tool für USB-Treiber. Es emuliert ein USB-Gerät und erzeugt ungültige und…

20 Stunden ago