一種新的Linux系統後門已經開始肆虐，並主要運行在位於中國的Linux服務器上。據ZDNet報導，該惡意軟件名為SpeakUp，三週前由Check Point安全研究人員發現。研究人員表示黑客利用PHP框架ThinkPHP的漏洞CVE-2018-20062進行攻擊，一旦SpeakUp入侵易受攻擊的系統，那麼黑客就可以使用它來修改本地cron應用以獲得啟動持久性，並運行shell命令，執行從遠程命令與控制服務器（C＆C）下載的文件，以及更新或卸載自身。此外SpeakUp 還附帶了一個內置的Python 腳本，惡意軟件通過該腳本在本地網絡中橫向傳播。腳本可以掃描本地網絡以查找開放端口，使用預定義的用戶名和密碼列表對附近的系統進行暴力破解，並使用以下七個漏洞中的一個來接管未打補丁的系統：

• CVE-2012-0874: JBoss 企業應用程序平台多安全繞過漏洞
• CVE-2010-1871: JBoss Seam Framework 遠程代碼執行
• JBoss AS 3/4/5/6: 遠程命令執行
• CVE-2017-10271: Oracle WebLogic wls-wsat 組件反序列化RCE
• CVE-2018-2894: Oracle Fusion Middleware 的Oracle WebLogic Server 組件中的漏洞
• Hadoop YARN ResourceManager – Command Execution
• CVE-2016-3088: Apache ActiveMQ文件服務器文件上載遠程執行代碼漏洞

Check Point 表示SpeakUp 可以在六種不同的Linux 發行版甚至macOS 系統上運行，其背後的黑客團隊目前主要使用該惡意軟件在受感染的服務器上部署Monero 加密貨幣礦工，並且目前已經獲得了大約107 枚Monero 幣，大約是4500 美元。

目前感染的地圖顯示，SpeakUp 受害者主要集中在亞洲和南美洲，其中以中國為主。

研究人員表示，就已經掌握的信息來看，SpeakUp 作者目前僅使用ThinkPHP 的漏洞CVE-2018-20062 進行利用，該漏洞允許遠程攻擊者通過精心使用filter 參數來執行任意PHP 代碼，但其實他們可以輕鬆切換到任何其它漏洞，將SpeakUp 後門擴展到更廣泛的目標。