Botnet de Linux está apuntando a servidores RDP de Windows con la vulnerabilidad BlueKeep
Investigadores de ciberseguridad han descubierto una nueva variante de WatchBog, una botnet de malware de minería de criptomonedas basada en Linux, que ahora también incluye un módulo para escanear en Internet los servidores RDP de Windows vulnerables a la falla de Bluekeep.
BlueKeep(wormable) es una vulnerabilidad de ejecución de código remota altamente crítica; está presente en los Servicios de escritorio remoto de Windows y esta podría permitir que un atacante remoto no autenticado, tome el control total sobre los sistemas vulnerables, simplemente enviando solicitudes especialmente diseñadas sobre el protocolo RDP.
Aunque los parches para la vulnerabilidad BlueKeep (CVE – 2019-0708) ya fueron lanzados por Microsoft en mayo de este año, más de 800,000 máquinas Windows accesibles a través de Internet siguen siendo vulnerables a la falla crítica.
Afortunadamente, incluso después de que muchas personas en la comunidad de seguridad desarrollaran vulnerabilidades de código remoto para BlueKeep, no hay una vulnerabilidad de prueba de concepto (PoC) disponible hasta la fecha, lo que podría evitar que los hackers oportunistas causen estragos.
Sin embargo, la firma de ciberseguridad Immunity lanzó ayer una versión actualizada de su herramienta comercial de evaluación automatizada de vulnerabilidades y pruebas de penetración (VAPT), CANVAS 7.23, que incluye un nuevo módulo para el exploit BlueKeep RDP.
WatchBog al ataque
Parece que los atacantes detrás de WatchBog están utilizando su red de botnets para preparar “una lista de sistemas vulnerables para atacar en el futuro o para vender a terceros para obtener ganancias”, advierten los investigadores de Intezer Lab, que descubrieron la nueva variante WatchBog.
“La incorporación del escáner BlueKeep por una botnet de Linux puede indicar que WatchBog está comenzando a explorar oportunidades financieras en una plataforma diferente”, dijeron los investigadores.
El escáner BlueKeep incluido en WatchBog escanea Internet y luego envía la lista de hosts RDP recién descubiertos, como una cadena de datos hexadecimales encriptados usando RC4, a los servidores controlados por el atacante.
Según el investigador, la nueva variante de WatchBog ya ha comprometido más de 4.500 máquinas Linux en los últimos dos meses.
Aunque WatchBog opera desde fines del año pasado, los atacantes están distribuyendo una nueva variante en una campaña en curso activa desde principios de junio de este año.
La variante WatchBog recientemente descubierta incluye un nuevo módulo de expansión junto con exploits, para algunas vulnerabilidades recientemente parcheadas en aplicaciones Linux, lo que permite a los atacantes encontrar y comprometer más sistemas Linux rápidamente.
Módulos
El malware de botnet WatchBog Linux contiene varios módulos, como se detalla estructuralmente a continuación, que aprovecha las vulnerabilidades recientemente parcheadas en las aplicaciones Exim, Jira, Solr, Jenkins, ThinkPHP y Nexus para comprometer las máquinas Linux.
Módulo Pwn
- CVE-2019-11581 (Jira)
- CVE-2019-10149 (Exim)
- CVE-2019-0192 (Solr)
- CVE-2018-1000861 (Jenkins)
- CVE-2019-7238 (Nexus Repository Manager 3)
Módulo de escaneo
- Escáner de BlueKeep
- Escáner de Jira
- Escáner de Solr
Módulo de fuerza bruta
- Instancias CouchDB
- Instancias de Redis
Módulo de extensión
- Apache ActiveMQ (CVE-2016-3088)
- Solr (CVE-2019-0192)
- Ejecución de código sobre Redis
Después de que los módulos de escaneo y de fuerza bruta descubren una máquina Linux que ejecuta la aplicación vulnerable, WatchBog implementa un script en la máquina objetivo para descargar los módulos mineros de Monero, desde el sitio web de Pastebin.
El script malicioso también gana persistencia en el sistema infectado a través de crontab y descarga un nuevo módulo separador, que viene en forma de un ejecutable ELF compilado de Cython, vinculado dinámicamente.
Los investigadores han recomendado a los administradores de Linux y Windows que mantengan su software y sistemas operativos actualizados contra vulnerabilidades conocidas, para evitar ser víctimas de tales campañas de ataque.
Puedes averiguar si WatchBog ha infectado tu máquina Linux, comprobando la existencia del archivo “/tmp/.tmplassstgggzzzqpppppp12233333” o el archivo “/tmp/.gooobb” en tu sistema.