Une nouvelle campagne de diffusion du cheval de Troie SpeakUp identifiée par une équipe de chercheurs

Des chercheurs de la société Checkpoint ont récemment identifié une campagne de diffusion d'une porte dérobée permettant la diffusion de chevaux de Troie. Ces derniers téléchargent actuellement un mineur de cryptomonnaie. Les machines infectées ont été identifiées sur 6 distributions Linux et des hôtes Amazon Web Services. Cette campagne a été baptisée "SpeakUp" par les chercheurs à l'origine de sa découverte en réponse à l’identification d'un serveur de contrôle et de commande portant ce nom. Cette porte dérobée permet en effet d’ouvrir un accès à distance par l'intermédiaire du cadriciel (framework) ThinkPHP utilisé pour du développement web sur certaines distributions Linux. ThinkPHP est très utilisé en Amérique latine et en Asie de l'Est, ce qui explique la répartition actuelle des machines infectées observée par Check Point.

Ainsi un attaquant pourrait accéder aux serveurs et en prendre le contrôle à distance. Si SpeakUp a été identifié pour la première fois le 22 décembre 2018, sa propagation a connu un développement exponentiel depuis le 25 janvier 2019, avec la compromission de 70000 machines identifiées à ce jour. Le logiciel malveillant (malware) est fait de manière à pouvoir se propager sur le sous-réseau (subnet) de manière horizontale.

Le responsable de cette attaque n’a pas été identifié, néanmoins, les chercheurs de Check Point ont identifié de nombreux points communs avec des codes développés par Zettabit, un concepteur de ce type de logiciels malveillants d'origine russe.

Détails techniques :

L'exploitation se déroule en 3 étapes :

  1. D'après les chercheurs, le vecteur d'infection initial viserait une vulnérabilité du framework PHP ThinkPHP (vulnérabilité identifiée comme CVE-2018-20062) permettant de l'exécution de code arbitraire à distance via le téléversement d'un script shell PHP ouvrant un accès de la machine à un serveur de contrôle et de commande.
  2. Une nouvelle requête http est ensuite envoyée au serveur visé, le plus souvent en injectant une charge utile et un chemin pour l'enregistrer.
  3. La troisième étape va consister à lancer la porte dérobée en utilisant une ultime requête http qui va exécuter le script perl. Le script est mis en veille pendant 2 secondes avant de procéder à la suppression du fichier afin de ne laisser aucune évidence.

La propagation est ensuite assurée par un script python qui va ensuite tenter une attaque par force brute sur les panneaux de configuration Admin panel. Un balayage de l'environnement sur les sous-réseaux internes et externes des machines infectées est conduit. Enfin, une tentative d'exploitation de code à distance est lancée sur les serveurs visés. Les vulnérabilités exploitées constatées par Check Point sont les suivantes :

Une fonctionnalité d'offuscation est utilisée pour contourner les solutions de détection telles que des antivirus. Le même encodage en base 64 est utilisé dans les communications avec le serveur de contrôle et de commande. À ce titre, aucun éditeur antivirus listé par Virus Total n'a identifié de contenu malveillant sur la première souche analysée par les chercheurs Check Point, rendant cette campagne très efficace.

Informations
+

Risques

  • Exécution de code arbitraire (à distance).

Criticité

  • Score CVSS : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Le code d'exploitation est détaillé dans le lien correspondant.

Composants & versions vulnérables

  • Les versions vulnérables sont communiqués dans les vulnérabilités exploitées correspondantes

CVE

  • CVE-2010-1871
  • CVE-2012-0874
  • CVE-2016-3088
  • CVE-2017-10271
  • CVE-2018-2894
  • CVE-2018-20062

Recommandations
+

Mise en place de correctif de sécurité

  •  Le détail des correctifs est détaillé dans les bulletins de vulnérabilité correspondants.

Solution de contournement

  • Aucune solution de contournement a été communiquée.