watchbog

WatchBog: 1 nouvelle variante utilise la faille Bluekeep

Des chercheurs en cybersécurité ont découvert une nouvelle variante de WatchBog, un malware de minage de cryptomonnaie, qui inclut maintenant un module pour scanner la toile et trouver des serveurs Windows RDP qui sont vulnérables à la faille Bluekeep.

BlueKeep est une vulnérabilité d’exécution de code à distance dans Windows Remote Desktop Services qui permet à un individu non-authentifié de prendre le contrôle de systèmes vulnérables en envoyant des requêtes spéciales via le protocole RDP.

Le patch de la faille BlueKeep (CVE–2019-0708) a été distribué par Microsoft en Mai mais plus de 800 000 machines Windows accessible sur le net sont encore vulnérables.

Heureusement, même après qu’un nombre important de personne ait développé des exploits d’exécution de code à distance pour BlueKeep, il n’y a aucune preuve de concept disponible pour le moment.

Cependant, la compagnie de cybersécurité, Immunity, a sorti une version mise à jour de leur outil d’évaluation de vulnérabilité, CANVAS 7.23, qui inclut un nouveau module pour l’exploit BlueKeep RDP.

Il semblerait que les pirates derrière WatchBog utilise leur réseau botnet pour préparer “une liste de systèmes vulnérables à cibler à l’avenir ou à vendre à des partis tiers,” ont signalé les chercheurs de Intezer Lab, qui ont découvert la nouvelle variante de WatchBog.

“L’incorporation du scanner BlueKeep par un botnet Linux pourrait indiquer que WatchBog commence à explorer des opportunités financières sur d’autres plateformes,” ont dit les chercheurs.

Le scanner BlueKeep inclus dans WatchBog scanne Internet et crée une liste des hôtes RDP qu’il découvre, sous forme de données chiffrée avec RC4, et l’envoie aux serveurs contrôlés par les pirates.

watchbog exploit for bluekeep rdp vulnerability

Selon le chercheur, la nouvelle variante de WatchBog a déjà compromis plus de 4500 machines Linux au cours des deux derniers mois.

WatchBog est en activité depuis la fin de l’année dernière mais les pirates distribuent cette nouvelle variante seulement depuis le mois de Juin 2019.

Cette nouvelle variante inclut aussi un nouveau module de diffusion avec des exploits récents d’applications Linux, permettant aux pirates de trouver et de compromettre un plus grand nombre de systèmes Linux.

WatchBog utilise un nombre important de modules

Le botnet WatchBog Linux contient plusieurs modules qui utilisent des vulnérabilités se trouvant dans les applications Exim, Jira, Solr, Jenkins, ThinkPHP et Nexus pour compromettre les machines Linux.

Module Pwn

  • CVE-2019-11581 (Jira)
  • CVE-2019-10149 (Exim)
  • CVE-2019-0192 (Solr)
  • CVE-2018-1000861 (Jenkins)
  • CVE-2019-7238 (Nexus Repository Manager 3)

Module Scanning

  • Scanner BlueKeep
  • Scanner Jira
  • Scanner Solr

Module Brute-forcing

  • Instances CouchDB
  • Instances Redis

Module Spreading

  • Apache ActiveMQ (CVE-2016-3088)
  • Solr (CVE-2019-0192)
  • Exécution de Code sur Redis

Après que les modules de scan et de force-brute aient découvert une machine Linux utilisant une application vulnérable, WatchBog déploie un script sur la machine ciblée pour télécharger les modules de minage de Monero depuis le site internet Pastebin.

Le script malveillant gagne ensuite en persistance sur le système infecté via crontab et télécharge ensuite une nouvelle expansion, cette dernière est sous la forme d’un exécutable ELF compilé en Cython.

Les chercheurs ont recommandé aux administrateurs de systèmes Linux et Windows de garder leurs logiciels et systèmes d’exploitation à jour pour se protéger des attaques ciblant ces vulnérabilités.

Vous pouvez savoir si WatchBog a infecté votre machine Linux en vérifiant l’existance du fichier “/tmp/.tmplassstgggzzzqpppppp12233333” ou du fichier “/tmp/.gooobb” sur votre système.

Laisser un commentaire