Tìm hiểu về SpeakUp - Malware mới nhắm mục tiêu vào máy chủ Linux

Với tiền điện tử ngày nay rất phổ biến, do đó, sức hấp dẫn của việc cài đặt các công cụ đào tiền ảo trên các máy chủ mà không cần sự cho phép của chủ sở hữu cũng tăng lên. Kiếm tiền ảo đòi hỏi sức mạnh xử lý, và điều này đã truyền cảm hứng cho các tin tặc lén lút cài các công cụ khai thác vào các phần cứng khác và để các nạn nhân làm mọi việc thay cho chúng. Một chuỗi phần mềm độc hại gần đây có tên là SpeakUp đang sử dụng các cuộc tấn công backdoor để khai thác trên các máy chủ chạy hệ điều hành Linux. Điều này đặc biệt đáng lo ngại, vì phần mềm trở thành mục tiêu của SpeakUp chiếm khoảng 90% trong số một triệu domain hàng đầu ở Hoa Kỳ hiện nay!

Cách thức hoạt động của SpeakUp

Chức năng của chương trình SpeakUp là khai thác lỗ hổng trong ThinkPHP. Sau khi cài đặt, nó tạo ra một backdoor cho phép nó liên lạc với máy chủ điều khiển chính. Nó thông báo cho máy chủ điều khiển rằng máy chủ đã trở thành một nạn nhân mới. Máy chủ điều khiển ghi lại vi phạm trong cơ sở dữ liệu của các máy chủ bị xâm nhập, vì vậy nó theo dõi tất cả các địa điểm mà máy chủ có quyền kiểm soát. Sau đó, máy chủ kiểm soát sẽ gửi cho phần mềm độc hại một số hướng dẫn về những việc cần làm tiếp theo.

Hiện tại, SpeakUp dường như chỉ quan tâm đến việc cài đặt các công cụ đào tiền ảo trên các máy chủ mà nó lây nhiễm. Nó sử dụng Monero làm đơn vị tiền tệ và tại thời điểm viết bài, malware này đã tích lũy được khoảng $4500 từ các cuộc tấn công này. Nó cũng cung cấp cho chính nó các quyền nâng cao, cho phép tự cài đặt ngay cả sau khi khởi động lại.

Điều đáng lo ngại hơn là cách nó lan truyền. Nó chủ động tìm kiếm máy chủ khác trong cùng mạng của máy chủ bị lây nhiễm, nếu thấy máy chủ có cùng lỗi, nó sẽ tự động tấn công và lây lan sang máy chủ đó. Điều này làm cho người dùng rất khó để đánh giá mức độ nghiêm trọng và cách thức để loại bỏ malware này, vì nó có thể tự lan rộng ra.

SpeakUp đã lan rộng bao xa?

Hiện tại, SpeakUp đang tập trung vào việc tấn công một lỗ hổng được tìm thấy trong các hệ thống chỉ có ở Trung Quốc. Như vậy, phần lớn các máy chủ bị nhiễm là ở Trung Quốc. Tuy nhiên, một số thiệt hại nghiêm trọng đối với các quốc gia châu Á và Nam Mỹ khác cũng đã được ghi nhận, sau khi chương trình SpeakUp “nhảy qua biên giới” nhằm tìm kiếm các mạng mới để lây nhiễm.

Hiện tại, các quốc gia khác trên thế giới dường như không bị ảnh hưởng. Tuy nhiên, phần mềm độc hại này có thể được yêu cầu tấn công các máy chủ, bằng cách sử dụng một phương thức khai thác khác, sẽ cho phép nó lây nhiễm các máy chủ có trụ sở tại Hoa Kỳ, do đó, phần mềm này có thể không tồn tại quá lâu.

Tất cả những gì SpeakUp làm là đào tiền ảo ư?

Hiện tại, câu trả lời là đúng. Tất cả những gì SpeakUp đang làm dường như chỉ là cài đặt một công cụ khai thác để kiếm thêm Monero từ nạn nhân. Tuy nhiên, vấn đề chính là làm thế nào phần mềm độc hại này được thiết lập để thực hiện các tác vụ do máy chủ điều khiển gửi đến. Mặc dù phần mềm độc hại này chỉ đang cài đặt các công cụ khai thác ở thời điểm hiện tại, nhưng không có gì ngăn cản việc kẻ xấu sẽ gửi một tác vụ mới đến các máy chủ bị lây nhiễm.

Đây là những gì làm cho nó thực sự đáng lo ngại đối với các máy chủ này. Chưa có gì chứng minh phần mềm độc hại này có khả năng đó. Tất cả những gì chúng ta có thể dự đoán bây giờ là nó có khả năng nhận lệnh từ một bên thứ ba không xác định. Việc các lệnh này đòi hỏi những gì vẫn chưa thể xác định, nhưng chắc chắn đó không phải là điều gì tốt đẹp cả!

Với vai trò là một phần mềm độc hại mới tấn công vào phần lớn các domain hàng đầu, thì SpeakUp là một mối đe dọa lớn. Hiện tại, nó chỉ đơn giản là kiếm tiền cho chủ sở hữu, nhưng không biết được nó sẽ phát triển như thế nào trong tương lai.

Sự phát triển mới này có làm bạn lo lắng không? Hãy cho chúng tôi biết ý kiến trong phần bình luận dưới đây nhé!