Blog

Orqa eshik Monero kriptovalyuta konchilarini o’rnatish uchun ishlatiladi.

Check Point tadqiqotchilari yangi zararli dastur kampaniyasini aniqladilar, unda hujumchilar ThinkPHP tizimidagi zaiflikdan foydalanib, Linux serverlarini yangi SpeakUp orqa eshik bilan yuqtirishadi va Monero kriptovalyutasi uchun maynerlarni joylashtirishadi. Tizimni buzgandan so’ng, hujumchilar buyruq va boshqaruv serveridan yuklab olingan buyruqlar va fayllarni saqlash va bajarish uchun mahalliy Cron yordam dasturini o’zgartirish uchun troyan dasturidan foydalanadilar. SpeakUp orqa eshikida shuningdek, zararli dasturni mahalliy tarmoq bo’ylab tarqatish uchun ishlatiladigan Python skripti mavjud. Skript tarmoqlarni ochiq portlar uchun skanerlaydi, ma’lum login va parollar ro’yxatidan foydalanib tizimlarni buzadi va shuningdek, yamalmagan tizimlarni boshqarish uchun yettita mavjud eksploitlardan birini ishlatishi mumkin.

Troyan arsenalida turli platformalar va komponentlardagi, xususan, JBoss EAP (CVE-2012-0874), JBoss Seam (CVE-2010-1871), JBoss AS 3/4/5/6, Oracle WebLogic (CVE-2017-10271), Oracle WebLogic Server (CVE-2018-2894), Apache Hadoop YARN ResourceManager, Apache ActiveMQ (CVE-2016-3088) zaifliklari uchun ekspluatatsiyalar mavjud.

SpeakUp olti xil Linux distributivlari va macOS operatsion tizimlarida ishlaydi. Hujumchilarning maqsadi Monero kriptovalyutasini qazib olishdir. Mutaxassislarning fikriga ko’ra, uch haftalik kampaniya davomida tashkilotchilar taxminan 107 ta tanga (taxminan 4500 dollar) qazib olishga muvaffaq bo’lishdi. Imkoniyatlariga qaramay, kiberjinoyatchilar hozirda faqat ThinkPHP tizimini nishonga olishmoqda, qurbonlarning aksariyati Osiyo va Janubiy Amerikada joylashgan.

ThinkPHP zaifligidan ommaviy foydalanish o’tgan yilning oxirida kontseptsiyani isbotlash ekspluatatsiyasi e’lon qilinganidan keyin boshlandi. So’nggi bir necha oy ichida tadqiqotchilar bir nechta kampaniyalar ushbu zaiflikdan u yoki bu tarzda, masalan, Hakai va Yowai botnetlarini kengaytirish uchun foydalanayotganini kuzatdilar.