پژوهشگران امنیت سایبری نوع جدیدی از باتنت بدافزار استخراج رمزارز مبتنیبرلینوکس WatchBog را کشف کردهاند که درحالحاضر شامل یک مؤلفه برای پویش اینترنت بهمنظور یافتن سرورهای RDP ویندوز آسیبپذیر در برابر آسیبپذیری BlueKeep است. BlueKeep یک آسیبپذیری اجرای کد از راه دور بحرانی در Windows Remote Desktop Services است که به یک مهاجم راه دور احرازهویتنشده اجازه میدهد تا تنها با ارسال درخواستهای مخرب در پروتکل RDP کنترل کامل سیستمهای آسیبپذیر را به دست گیرد. اگرچه در ماه مِی سال جاری مایکروسافت وصلههایی برای آسیبپذیری BlueKeep منتشر کرد، اما بیش از ۸۰۰ هزار دستگاه ویندوز در سراسر اینترنت هنوز در برابر این آسیبپذیری بحرانی آسیبپذیر هستند.
خوشبختانه حتی پس از آنکه بسیاری از افراد در جامعهی امنیتی بهرهبرداری کد از راه دور فعالی برای BlueKeep توسعه دادهاند، درحالحاضر هیچ بهرهبرداری اثبات مفهومی عمومی در دسترس نیست که مانع از خرابکاری نفوذگران شود. بااینحال، شرکت امنیت سایبری Immunity یک نسخهی بهروزرسانیشده از ابزار تست نفوذپذیری و ارزیابی آسیبپذیری (VAPT) خودکار تجاری خود به نام CANVAS 7.32 منتشر کرده است که شامل یک مؤلفهی جدید برای بهرهبرداری BlueKeep RDP است.
پژوهشگران Intezer Lab هشدار دادند که به نظر میرسد مهاجمان پشت WatchBog از شبکهی باتنت خود استفاده میکنند تا فهرستی از سیستمهای آسیبپذیر را که در آینده هدف قرار خواهند گرفت، آماده کنند و یا با فروش آن به شرکتهای شخص ثالث کسب سود کنند. پژوهشگران بیان کردند که تلفیق پویشگر BlueKeep با یک باتنت لینوکس نشان میدهد که WatchBog بررسی فرصتهای مالی در یک بستر متفاوت را آغاز کرده است.
پویشگر BlueKeep موجود در WatchBog، اینترنت را پویش میکند و سپس فهرستی از میزبانهای RDP تازه کشفشده را بهعنوان یک رشته دادهی هگزادسیمال که بااستفاده از RC4 رمزنگاری شده است، برای سرورهای تحت کنترل مهاجم ارسال میکند.
بهگفتهی پژوهشگران، نوع جدید WatchBog در دو ماه اخیر بیش از ۴٬۵۰۰ دستگاه لینوکس را در معرض خطر قرار داده است. اگرچه WatchBog از اواخر سال قبل فعالیت میکند، مهاجمان نوع جدید آن را در پویشی که از اوایل ماه ژوئن سال جاری فعال است، توزیع میکنند. نوع جدید WatchBog شامل یک مؤلفهی توزیع جدید بههمراه بهرهبرداریهایی برای برخی از آسیبپذیریهای وصلهشده در برنامههای لینوکس است که به مهاجمان اجازه میدهد تا به سرعت سیستمهای لینوکس بیشتری را پیدا کنند و در معرض آسیب قرار دهند.
بدافزار باتنت لینوکس WatchBog دارای چند مؤلفه است که از آسیبپذیریهایی که بهتازگی در برنامههای Exim، Jira، Solr، Jenkins، ThinkPHP و Nexus وصله شده است، استفاده میکند تا دستگاههای لینوکس را در معرض خطر قرار دهد.
پس از آنکه مؤلفههای پویش و جستجوی کورکوانه یک دستگاه لینوکس را که برنامهی آسیبپذیر اجرا میکند، کشف کردند، WatchBog یک اسکریپت را در دستگاه هدف اجرا میکند تا مؤلفههای استخراجکنندهی مونرو را از وبگاه Pastebin بارگیری کند. سپس این اسکریپت مخرب از طریق crontab و دانلود یک مؤلفهی توزیعکنندهی جدید، در سیستم آلوده به پایداری میرسد. پژوهشگران به مدیران لینوکس و ویندوز توصیه کردهاند تا برای مقابله با آسیبپذیریهای شناختهشده و جلوگیری از قربانی شدن در چنین حملاتی، نرمافزار و سیستم عامل خود را بهروز نگه دارند.
