Μια νέα παραλλαγή του WatchBog malware έκανε την εμφάνισή της. Πρόκειται για ένα Linux-based cryptomining malware botnet, το οποίο σύμφωνα με τους ερευνητές έχει τη δυνατότητα να σαρώνει το Internet για να εντοπίζει Windows RDP servers, που είναι ευάλωτοι στην ευπάθεια Bluekeep.
Η BlueKeep είναι μια εξαιρετικά κρίσιμη ευπάθεια, η οποία επιτρέπει την απομακρυσμένη εκτέλεση κώδικα στο Windows Remote Desktop Services. Αυτό μπορεί να δώσει στον επιτιθέμενο τη δυνατότητα να αποκτήσει τον πλήρη έλεγχο των ευάλωτων συστημάτων.
Το Μάιο, η Microsoft εξέδωσε patch για την ευπάθεια BlueKeep (CVE-2019-0708), ωστόσο, περισσότεροι από 800.000 Windows υπολογιστές, που είναι προσβάσιμοι μέσω Διαδικτύου, εξακολουθούν να είναι ευάλωτοι.
Οι ερευνητές πιστεύουν ότι οι hackers πίσω από το WatchBog χρησιμοποιούν το botnet δίκτυό τους για να προετοιμάσουν “έναν κατάλογο ευάλωτων συστημάτων, που σκοπεύουν να στοχεύσουν στο μέλλον ή να πουλήσουν σε τρίτους».
Ο σαρωτής BlueKeep, που περιλαμβάνεται στο WatchBog, σαρώνει το Διαδίκτυο και βρίσκει νέους ευάλωτους υπολογιστές.
Σύμφωνα με τον ερευνητή, που ανακάλυψε τη νέα παραλλαγή του WatchBog, το κακόβουλο λογισμικό έχει ήδη θέσει σε κίνδυνο πάνω από 4.500 μηχανήματα Linux τους τελευταίους δύο μήνες.
Το WatchBog χρησιμοποιείται από τους hackers από τα τέλη του περασμένου έτους. Η νέα παραλλαγή, όμως, που εκμεταλλεύεται την ευπάθεια Bluekeep, αποτελεί μέρος μιας εκστρατείας, που έχει ξεκινήσει από τις αρχές Ιουνίου.
Η νέα παραλλαγή του WatchBog περιλαμβάνει νέες δυνατότητες παραβίασης και προσπαθεί να εκμεταλλευτεί και κάποιες πρόσφατα επιδιορθωμένες ευπάθειες σε εφαρμογές Linux. Αυτό δίνει τη δυνατότητα στους hackers να θέσουν σε κίνδυνο περισσότερα συστήματα Linux ακόμα πιο γρήγορα.
Το WatchBog Linux botnet malware έχει πολλές λειτουργίες, που στοχεύουν ευπάθειες σε εφαρμογές Exim, Jira, Solr, Jenkins, ThinkPHP και Nexus, όπως έχουμε αναφέρει και σε προηγούμενο άρθρο:
Pwn Module
- CVE-2019-11581 (Jira)
- CVE-2019-10149 (Exim)
- CVE-2019-0192 (Solr)
- CVE-2018-1000861 (Jenkins)
- CVE-2019-7238 (Nexus Repository Manager 3)
Scanning Module
- BlueKeep Scanner
- Jira Scanner
- Solr Scanner
Brute-forcing Module
Spreading Module
- Apache ActiveMQ (CVE-2016-3088)
- Solr (CVE-2019-0192)
- Εκτέλεση κώδικα μέσω Redis
Μετά από τη σάρωση και την brute-forcing επίθεση, το WatchBog εγκαθιστά ένα script στο στοχευόμενο μηχάνημα, το οποίο κατεβάζει το Monero miner (δείτε περισσότερα για την επίθεση εδώ).
Οι ειδικοί ασφαλείας συνιστούν στους χρήστες και τους διαχειριστές Linux και Windows συστημάτων να διατηρούν το λογισμικό και τα λειτουργικά τους συστήματα ενημερωμένα, ώστε να προστατευτούν από γνωστές ευπάθειες και να αποφύγουν τις επιθέσεις από hackers.
