Cybercriminelen maken op dit moment gebruik van een kwetsbaarheid in ThinkPHP om Linux-servers met een backdoor te infecteren. Vervolgens wordt er een cryptominer op het systeem geïnstalleerd die de rekenkracht van de server gebruikt voor het delven van de cryptovaluta Monero.
ThinkPHP is een PHP-framework waar allerlei webapplicaties en websites gebruik van maken. De kwetsbaarheid werd in december gepatcht. Toch zijn er nog altijd kwetsbare servers waar de update nog niet is geïnstalleerd. Securitybedrijf Check Point maakt melding van malware genaamd SpeakUp die wordt gebruikt voor het infecteren van deze servers.
Nadat de aanvallers via het ThinkPHP-lek toegang hebben gekregen wordt er een Perl-backdoor op de server uitgevoerd. Vervolgens maken de aanvallers gebruik van oudere kwetsbaarheden in JBoss Enterprise Application Platform, JBoss Seam Framework, JBoss AS 3/4/5/6, Oracle WebLogic, WebLogic Server, Oracle Fusion Middleware, Hadoop YARN en Apache ActiveMQ Fileserver om andere servers in het netwerk van de aangevallen organisatie te infecteren. Als laatste wordt de cryptominer geïnstalleerd.
De meeste besmette servers zijn in Oost-Azië en Latijns-Amerika aangetroffen, zo meldt Threatpost. Onlangs berichtte anti-virusbedrijf Trend Micro dat IoT-malware genaamd Hakai en Yowai, mede gebaseerd op de beruchte Mirai-malware, systemen via de ThinkPHP-kwetsbaarheid probeert binnen te dringen.
Deze posting is gelocked. Reageren is niet meer mogelijk.