Casa > Cyber ​​Notizie > Godlua Backdoor utilizza CVE-2019-3396 per indirizzare gli utenti Linux
CYBER NEWS

Godlua Backdoor Usi CVE-2019-3396 come target gli utenti Linux

C'è un nuovo pezzo di avanzata di malware backdoor che può avere come bersaglio entrambi i sistemi Linux e Windows in modo sicuro, comunicazione inedito. La backdoor è stata soprannominata Godlua, come è Lua-based e “il file bytecode Lua caricato da questo campione ha un numero magico di “Dio”. Lo scopo principale della backdoor sembra essere DDoS.




Godlua Backdoor: Dettagli

Secondo Qihoo 360 ricercatori, ci sono due versioni di Godlua:

Versione 201811051556 si ottiene attraversando server di download Godlua e non v'è stato alcun aggiornamento su di esso. Versione 20190415103713 ~ 2019062117473 è attiva ed è oggetto di aggiornamento. Essi sono tutti scritti in C, ma quella attiva supporta più piattaforme di computer e più funzioni.

Il malware è stato scoperto nell'aprile 24 quest'anno, quando il sistema di rilevamento delle minacce dei ricercatori rilevato un file ELF sospetto, che è stata segnata da altri vendor di sicurezza come un cavallo di Troia mineraria. La funzionalità mineraria attualmente non può essere confermata a differenza delle DDoS che è già in uso.

Il fatto più interessante del backdoor Godlua è che ha un meccanismo di comunicazione ridondante utilizzata per il comando e controllo (c2) connessione. Si tratta di una combinazione di nome DNS hardcoded, Pastebin.com, GitHub.com e un DNS TXT che vengono utilizzati per memorizzare l'indirizzo c2. Questo comportamento è raramente visto in qualsiasi malware. Inoltre, la backdoor utilizza HTTPS scaricare i file di byte di codice Lua, e utilizza DNS su HTTPS per ottenere il nome C2 per garantire una comunicazione sicura tra i bot, il server Web e il C2, i ricercatori hanno segnalato.

Come già accennato, lo scopo primario di Godlua sembra essere correlato ad attacchi DDoS. E 'già stato rilevato in campagne attive in un attacco flood HTTP contro il liuxiaobei[.]dominio com.

Correlata: [wplinkpreview url =”https://sensorstechforum.com/yowai-botnet-mirai-thinkphp-vulnerability/”] Yowai botnet, Variante di Mirai, Exploit noti vulnerabilità ThinkPHP

I ricercatori hanno bisogno di vedere di più di Godlua per essere in grado di determinare il modo in cui la backdoor infetta i suoi obiettivi. Finora l'unica cosa che si sa è che il malware utilizza la cosiddetta Confluence exploit (CVE-2019-3396) per indirizzare gli utenti Linux.

CVE-2019-3396 è una vulnerabilità che risiede nella macro Widget connettore in Atlassian Confluence Server prima versione 6.6.12 (la versione fissa per 6.6.x), dalla versione 6.7.0 prima 6.12.3 (la versione fissa per 6.12.x), dalla versione 6.13.0 prima 6.13.3 (la versione fissa per 6.13.x), e dalla versione 6.14.0 prima 6.14.2 (la versione fissa per 6.14.x).

La vulnerabilità consente agli aggressori remoti di ottenere il percorso di attraversamento e l'esecuzione di codice da remoto su un server Confluence o un'istanza Data Center mediante iniezione modello server-side, come spiegato nel advisory ufficiale.

suggerimento dei ricercatori è almeno “monitorare e bloccare il relativo IP, URL e dominio nome Godlua Backdoor sulla rete". divulgazione tecnica completa di Godlua backdoor è disponibile.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo