Linux Botnet Menambahkan Server RDP Windows BlueKeep-Flawed ke Daftar Targetnya - Otak Kita

Linux Botnet Menambahkan Server RDP Windows BlueKeep-Flawed ke Daftar Targetnya



Otak Kita - Peneliti Cybersecurity telah menemukan varian baru WatchBog , botnet malware cryptocurrency penambangan berbasis Linux, yang sekarang juga mencakup modul untuk memindai Internet untuk server RDP Windows yang rentan terhadap cacat Bluekeep .

BlueKeep adalah kerentanan eksekusi kode jarak jauh yang sangat kritis, dapat ditularkan, dalam Layanan Desktop Jarak Jauh Windows yang dapat memungkinkan penyerang jarak jauh tanpa otorisasi untuk mengambil kendali penuh atas sistem yang rentan hanya dengan mengirimkan permintaan yang dibuat khusus melalui protokol RDP.

Meskipun tambalan untuk kerentanan BlueKeep (CVE – 2019-0708) sudah dirilis oleh Microsoft pada bulan Mei tahun ini, lebih dari 800.000 mesin Windows yang dapat diakses melalui Internet masih rentan terhadap cacat kritis.

Untungnya, bahkan setelah banyak individu dalam komunitas keamanan mengembangkan eksploitasi kode jarak jauh yang berfungsi untuk BlueKeep, tidak ada eksploitasi konsep bukti publik (PoC) yang tersedia hingga saat ini, yang berpotensi mencegah peretas oportunistik dari mendatangkan malapetaka.

Namun, tampaknya para penyerang di belakang WatchBog menggunakan jaringan botnet mereka untuk menyiapkan "daftar sistem yang rentan untuk ditargetkan di masa depan atau untuk dijual kepada vendor pihak ketiga untuk mendapatkan keuntungan," memperingatkan para peneliti dari Intezer Lab , yang menemukan varian WatchBog baru. .

    "Penggabungan pemindai BlueKeep oleh botnet Linux dapat mengindikasikan WatchBog mulai mengeksplorasi peluang keuangan pada platform yang berbeda," kata para peneliti. 

Pemindai BlueKeep yang termasuk dalam WatchBog memindai Internet dan kemudian menyerahkan daftar host RDP yang baru ditemukan, sebagai string data heksadesimal yang dienkripsi menggunakan RC4, ke server yang dikontrol penyerang.



Menurut peneliti, varian WatchBog baru telah mengkompromikan lebih dari 4.500 mesin Linux dalam dua bulan terakhir.

Meskipun WatchBog beroperasi sejak akhir tahun lalu, penyerang mendistribusikan varian barunya dalam kampanye aktif yang berlangsung sejak awal Juni tahun ini.

Varian WatchBog yang baru ditemukan termasuk modul penyebaran baru bersama dengan eksploitasi untuk beberapa kerentanan yang baru-baru ini ditambal dalam aplikasi Linux, memungkinkan penyerang untuk menemukan dan kompromi lebih banyak sistem Linux dengan cepat.

Malware botnet WatchBog Linux berisi beberapa modul, seperti yang dijelaskan secara struktural di bawah ini, yang memanfaatkan kerentanan yang baru saja ditambal di aplikasi Exim, Jira, Solr, Jenkins, ThinkPHP, dan Nexus untuk mengkompromikan mesin Linux.

Modul Pwn


  •     CVE-2019-11581 (Jira)
  •     CVE-2019-10149 (Exim)
  •     CVE-2019-0192 (Solr)
  •     CVE-2018-1000861 (Jenkins)
  •     CVE-2019-7238 (Nexus Repository Manager 3) 



Modul Pemindaian


  •     Pemindai BlueKeep
  •     Pemindai Jira
  •     Pemindai Solr 



Modul Brute-forcing


  •     Instance CouchDB
  •     Contoh redis 



Modul Penyebaran


  •     Apache ActiveMQ (CVE-2016-3088)
  •     Solr (CVE-2019-0192)
  •     Eksekusi Kode atas Redis 



Setelah pemindaian dan modul paksa menemukan mesin Linux menjalankan aplikasi yang rentan, WatchBog menyebarkan skrip pada mesin yang ditargetkan untuk mengunduh modul penambang Monero dari situs web Pastebin.

Script jahat kemudian juga mendapatkan kegigihan pada sistem yang terinfeksi melalui crontab dan mengunduh lebih lanjut modul spreader baru, yang datang dalam bentuk executable ELF Cython-compile yang terhubung secara dinamis yang dapat dieksekusi.

Para peneliti telah merekomendasikan administrator Linux dan Windows untuk memperbarui perangkat lunak dan sistem operasi mereka terhadap kerentanan yang diketahui untuk mencegah diri mereka menjadi korban kampanye serangan tersebut.

Anda dapat mengetahui apakah WatchBog telah menginfeksi mesin Linux Anda dengan memeriksa keberadaan file "/tmp/.tmplassstgggzzzqpppppp12233333" atau file "/tmp/.gooobb" di sistem Anda.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel