一種新的Linux 系統(tǒng)后門(mén)已經(jīng)開(kāi)始肆虐，并主要運(yùn)行在位于中國(guó)的 Linux 服務(wù)器上。

據(jù) ZDNet 報(bào)導(dǎo)，該惡意軟件名為 SpeakUp，三周前由 Check Point 安全研究人員發(fā)現(xiàn)。研究人員表示黑客利用 PHP 框架ThinkPHP 的漏洞 CVE-2018-20062 進(jìn)行攻擊，一旦 SpeakUp 入侵易受攻擊的系統(tǒng)，那么黑客就可以使用它來(lái)修改本地 cron 應(yīng)用以獲得啟動(dòng)持久性，并運(yùn)行 shell 命令，執(zhí)行從遠(yuǎn)程命令與控制服務(wù)器（C＆C）下載的文件，以及更新或卸載自身。

此外 SpeakUp 還附帶了一個(gè)內(nèi)置的 Python 腳本，惡意軟件通過(guò)該腳本在本地網(wǎng)絡(luò)中橫向傳播。腳本可以掃描本地網(wǎng)絡(luò)以查找開(kāi)放端口，使用預(yù)定義的用戶(hù)名和密碼列表對(duì)附近的系統(tǒng)進(jìn)行暴力破解，并使用以下七個(gè)漏洞中的一個(gè)來(lái)接管未打補(bǔ)丁的系統(tǒng)：

CVE-2012-0874: JBoss 企業(yè)應(yīng)用程序平臺(tái)多安全繞過(guò)漏洞

CVE-2010-1871: JBoss Seam Framework 遠(yuǎn)程代碼執(zhí)行

JBoss AS 3/4/5/6: 遠(yuǎn)程命令執(zhí)行

CVE-2017-10271: Oracle WebLogic wls-wsat 組件反序列化 RCE

CVE-2018-2894: Oracle Fusion Middleware 的 Oracle WebLogic Server 組件中的漏洞

Hadoop YARN ResourceManager - Command Execution

CVE-2016-3088: Apache ActiveMQ 文件服務(wù)器文件上載遠(yuǎn)程執(zhí)行代碼漏洞

Check Point 表示 SpeakUp 可以在六種不同的 Linux 發(fā)行版甚至 macOS 系統(tǒng)上運(yùn)行，其背后的黑客團(tuán)隊(duì)目前主要使用該惡意軟件在受感染的服務(wù)器上部署 Monero 加密貨幣礦工，并且目前已經(jīng)獲得了大約 107 枚 Monero 幣，大約是 4500 美元。

目前感染的地圖顯示，SpeakUp 受害者主要集中在亞洲和南美洲，其中以中國(guó)為主。

研究人員表示，就已經(jīng)掌握的信息來(lái)看，SpeakUp 作者目前僅使用 ThinkPHP 的漏洞 CVE-2018-20062 進(jìn)行利用，該漏洞允許遠(yuǎn)程攻擊者通過(guò)精心使用 filter 參數(shù)來(lái)執(zhí)行任意 PHP 代碼，但其實(shí)他們可以輕松切換到任何其它漏洞，將 SpeakUp 后門(mén)擴(kuò)展到更廣泛的目標(biāo)。