بات‌نت لینوکس سرورهای RDP ویندوز با آسیب‌پذیری BlueKeep را به فهرست هدف خود اضافه می‌کند

پژوهش‌گران امنیت سایبری نوع جدیدی از بات‌نت بدافزار استخراج رمزارز مبتنی‌برلینوکس WatchBog را کشف کرده‌اند که درحال‌حاضر شامل یک مؤلفه برای پویش اینترنت به‌منظور یافتن سرورهای RDP ویندوز آسیب‌پذیر در برابر آسیب‌پذیری BlueKeep است. BlueKeep یک آسیب‌پذیری اجرای کد از راه دور بحرانی در Windows Remote Desktop Services است که به یک مهاجم راه دور احرازهویت‌نشده اجازه می‌دهد تا تنها با ارسال درخواست‌های مخرب در پروتکل RDP کنترل کامل سیستم‌های آسیب‌پذیر را به دست گیرد. اگرچه در ماه مِی سال جاری مایکروسافت وصله‌هایی برای آسیب‌پذیری BlueKeep منتشر کرد، اما بیش از ۸۰۰ هزار دستگاه ویندوز در سراسر اینترنت هنوز در برابر این آسیب‌پذیری بحرانی آسیب‌پذیر هستند.

خوشبختانه حتی پس از آن‌که بسیاری از افراد در جامعه‌ی امنیتی بهره‌برداری کد از راه دور فعالی برای BlueKeep توسعه داده‌اند، درحال‌حاضر هیچ بهره‌برداری اثبات مفهومی عمومی در دسترس نیست که مانع از خراب‌کاری نفوذگران شود. بااین‌حال، شرکت امنیت سایبری Immunity یک نسخه‌ی به‌روزرسانی‌شده از ابزار تست نفوذپذیری و ارزیابی آسیب‌پذیری (VAPT) خودکار تجاری خود به نام CANVAS 7.32 منتشر کرده است که شامل یک مؤلفه‌ی جدید برای بهره‌برداری BlueKeep RDP است.

 پژوهش‌گران Intezer Lab هشدار دادند که به نظر می‌رسد مهاجمان پشت WatchBog از شبکه‌ی بات‌نت خود استفاده می‌کنند تا فهرستی از سیستم‌های آسیب‌پذیر را که در آینده هدف قرار خواهند گرفت، آماده کنند و یا با فروش آن به شرکت‌های شخص ثالث کسب سود کنند. پژوهش‌گران بیان کردند که تلفیق پویش‌گر BlueKeep با یک بات‌نت لینوکس نشان می‌دهد که WatchBog بررسی فرصت‌های مالی در یک بستر متفاوت را آغاز کرده است.

پویش‌گر BlueKeep موجود در WatchBog، اینترنت را پویش می‌کند و سپس فهرستی از میزبان‌های RDP تازه کشف‌شده را به‌عنوان یک رشته داده‌ی هگزادسیمال که بااستفاده از RC4 رمزنگاری شده است، برای سرورهای تحت کنترل مهاجم ارسال می‌کند.

به‌گفته‌ی پژوهش‌گران، نوع جدید WatchBog در دو ماه اخیر بیش از ۴٬۵۰۰ دستگاه لینوکس را در معرض خطر قرار داده است. اگرچه WatchBog از اواخر سال قبل فعالیت می‌کند، مهاجمان نوع جدید آن را در پویشی که از اوایل ماه ژوئن سال جاری فعال است، توزیع می‌کنند. نوع جدید WatchBog شامل یک مؤلفه‌ی توزیع جدید به‌همراه بهره‌برداری‌هایی برای برخی از آسیب‌پذیری‌های وصله‌شده در برنامه‌های لینوکس است که به مهاجمان اجازه می‌دهد تا به سرعت سیستم‌های لینوکس بیشتری را پیدا کنند و در معرض آسیب قرار دهند.

بدافزار بات‌نت لینوکس WatchBog دارای چند مؤلفه است که از آسیب‌پذیری‌هایی که به‌تازگی در برنامه‌های Exim، Jira، Solr، Jenkins، ThinkPHP و Nexus وصله شده است، استفاده می‌کند تا دستگاه‌های لینوکس را در معرض خطر قرار دهد.

پس از آن‌که مؤلفه‌های پویش و جستجوی کورکوانه یک دستگاه لینوکس را که برنامه‌ی آسیب‌پذیر اجرا می‌کند، کشف کردند، WatchBog یک اسکریپت را در دستگاه هدف اجرا می‌کند تا مؤلفه‌های استخراج‌کننده‌ی مونرو را از وب‌گاه Pastebin بارگیری کند. سپس این اسکریپت مخرب از طریق crontab و دانلود یک مؤلفه‌ی توزیع‌کننده‌ی جدید، در سیستم آلوده به پایداری می‌رسد. پژوهش‌گران به مدیران لینوکس و ویندوز توصیه کرده‌اند تا برای مقابله با آسیب‌پذیری‌های شناخته‌شده و جلوگیری از قربانی شدن در چنین حملاتی، نرم‌افزار و سیستم عامل خود را به‌روز نگه دارند.

منبع

Related posts

Leave a Comment

3 + یازده =