មេរោគ Trojan ថ្មីមួយមានឈ្មោះថា SpeakUp កំពុងធ្វើការចែកចាយមេរោគលីនុចចំនួន ៦ ខុសៗជាមួយភាពងាយរងគ្រោះដែលស្គាល់។ យុទ្ធនាការនេះផ្តោតសំខាន់លើអាស៊ីបូព៌ានិងអាមេរិកឡាទីនរួមទាំងម៉ាស៊ីនAWS ។ ក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខពីប៉ុស្តិ៍ត្រួតពិនិត្យ រកឃើញថាយុទ្ធនាមេរោគគេចពីការរកឃើញរបស់អ្នកលក់សន្ដិសុខទាំងអស់។
មេរោគ Trojan ដែលហៅថា SpeakUp ចែកចាយមេរោគឆ្លង subnet និងទាញយកភាពងាយរងគ្រោះពីការប្រតិបត្តិកូដពីចម្ងាយក្នុងម៉ាស៊ីនបម្រើលីនុចហើយក៏មានលទ្ធភាពដំឡើងមេរោគលើឧបករណ៍ Mac ផងដែរ។
ការចម្លងមេរោគលើម៉ាស៊ីនមេ
– SpeakUp ជាអ្នកវាយប្រហារប្រើភាពងាយរងគ្រោះក្នុង ThinkPHP សម្រាប់ការដាក់ PHP shell នៅក្នុងម៉ាស៊ីន ហើយក្រោយធ្វើប្រតិបត្តិ Perl backdoor។ ការឆ្លងមេរោគនេះប្រើដំណើរការចំនួន ៣ ជំហាន។ ដំណើរការឆ្លងចាប់ផ្តើម ដោយការទាញយកភាពងាយរងគ្រោះពី ThinkPHP (CVE-2018-20062) ដើម្បីផ្ទុកសែល PHP ។
នៅជំហានបន្ទាប់ ទិន្នន័យ payload ibus ត្រូវបញ្ចូលទៅម៉ាស៊ីនបម្រើជាមួយសំណើ HTTP ស្តង់ដារ និងផ្ទុក payload ក្នុងថត tmp ។ សំណើ HTTP បន្ថែមដែលផ្ញើទៅម៉ាស៊ីន បម្រើដើម្បីប្រតិបត្តិការផ្ទុកទិន្នន័យដែលមានប្រតិបត្តិស្គ្រីប perl ហើយក្រោយមក payload ត្រូវបានលុប។ ក្រុមអ្នកស្រាវជ្រាវ VirusTotal វិភាគគំរូនេះនៅថ្ងៃទី ៩ ខែមករាឆ្នាំ២០១៩ ហើយគ្មានឧបករណ៍ស្កេន AntiVirus ណាមួយបានរកឃើញវាទេ។
បណ្តាញទំនាក់ទំនង C & C Server Communication
SpeakUp ចាប់ផ្តើមដោយសំណើ POST ដែលផ្ញើអត្តសញ្ញាណជនរងគ្រោះ និងព័ត៌មាន ផ្សេងៗទៀត។ ការទំនាក់ទំនង C & C អនុវត្តតាមរយៈគេហទំព័រសម្របសម្រួល [ig] com ។
ខាងក្រោមនេះគឺជាមុខងារចម្បងរបស់ SpeakUp “newtask”
វាអាចប្រតិបត្តិលេខកូដតាមចិត្តលើម៉ាស៊ីនមូលដ្ឋាន និងប្រតិបត្តិឯកសារពីម៉ាស៊ីនបម្រើពី ចម្ងាយណាមួយដើម្បី សំលាប់ឬលុបកម្មវិធី និងបញ្ជូនទិន្នន័យស្នាមម្រាមដៃដែលគេធ្វើ បច្ចុប្បន្នភាព។ “ចំណាំ” – វាបិទរយៈពេល ៣ វិនាទី ហើយស្នើសុំពាក្យបញ្ជាបន្ថែម។ “newerconfig” – ធ្វើបច្ចុប្បន្នភាពឯកសារកំណត់រចនាសម្ព័ន្ធរបស់អ្នកដែលបានទាញយក។
ចំណុចរងគ្រោះ៖
• CVE-2012-0874:វេទិកាកម្មវិធីរបស់ក្រុមហ៊ុន JBoss មានចំណុចខ្សោយជាច្រើនផ្នែកសុវត្ថិភាព
• CVE-2010-1871: ប្រតិបត្តិកូដពីចម្ងាយរបស់ JBoss Seam
• JBoss AS 3/4/5/6: អនុវត្តពាក្យបញ្ជាពីចម្ងាយ (ទាញយក)
• CVE-2017-10271: Oracle WebLogic wls-wsat Component Deserialization RCE
• CVE-2018-2894: ភាពងាយរងគ្រោះក្នុងសមាសភាគម៉ាស៊ីន Oracle WebLogic Server របស់ Oracle Fusion Middleware ។
• Hadoop YARN ResourceManager – ប្រតិបត្តិពាក្យបញ្ជា (កេងប្រវ័ញ្ច)
•CVE-2016-3088: Apache លើ File ActiveMQ ផ្ទុកភាពងាយរងគ្រោះពីការប្រតិបត្តិកូដពីចម្ងាយ។
“SpeakUp` បិទបាំង payloads និងបច្ចេកទេសក្នុងការធ្វើប្រតិបត្តិការ ដែលជាការគំរាម កំហែងធំធេងក្នុងការបង្កើតមេរោគ។ អ្នកស្រាវជ្រាវធ្វើសេចក្តីសរុបថា វាជាការលំបាកក្នុង ការស្រមៃថា នរណាម្នាក់នឹងបង្កើត បែប payloads មានចន្លោះប្រហោងមួយនេះដើម្បីដាក់ មេរោគមួយចំនួន។
ប្រភពព័ត៌មាន៖
