Linux僵尸网络将存在BlueKeep缺陷的Windows RDP服务器添加到其目标列表中

网络安全研究人员发现了一种新的，这是一个基于Linux的加密货币挖掘恶意软件僵尸网络，现在还包括一个模块，用于扫描互联网上易受Bluekeep漏洞攻击的Windows RDP服务器。

BlueKeep是Windows远程桌面服务中的一个高度关键、可工作的远程代码执行漏洞，它允许未经验证的远程攻击者通过RDP协议发送精心编制的请求，从而完全控制易受攻击的系统。

尽管BlueKeep漏洞（CVE–；2019-0708）的修补程序已于今年5月由微软发布，但可通过互联网访问的80多万台Windows计算机仍然容易受到该严重漏洞的攻击。

幸运的是，即使在安全社区的许多人为BlueKeep开发了工作远程代码漏洞攻击之后，到目前为止还没有公共概念验证（PoC）漏洞攻击可用，这可能会阻止机会主义黑客肆虐。

然而，网络安全公司Immunition就在昨天发布了其商业自动漏洞评估和渗透测试（VAPT）工具CANVAS 7.23的更新版本，其中包括一个用于BlueKeep RDP漏洞利用的新模块。

Intezer实验室的研究人员发现了新的WatchBog变体，他们警告说，WatchBog背后的攻击者似乎正在利用他们的僵尸网络准备“一份易受攻击的系统清单，以供将来瞄准或出售给第三方供应商获利”。

研究人员说：“Linux僵尸网络加入BlueKeep扫描仪可能意味着WatchBog开始在另一个平台上探索财务机会。”。

WatchBog中包含的BlueKeep扫描程序扫描互联网，然后将新发现的RDP主机列表作为使用RC4加密的十六进制数据字符串提交给攻击者控制的服务器。
据研究人员称，新的WatchBog变体在过去两个月里已经危害了4500多台Linux机器。

虽然WatchBog从去年年底开始运行，但攻击者正在分发其新变种，这是自今年6月初以来一直在进行的活动。

新发现的WatchBog变体包括一个新的扩展模块，以及对Linux应用程序中一些最近修补的漏洞的攻击，使攻击者能够快速发现并破坏更多的Linux系统。

WatchBog Linux僵尸网络恶意软件包含多个模块，如下文所述，其结构利用了Exim、Jira、Solr、Jenkins、ThinkPHP和Nexus应用程序中最近修补的漏洞来危害Linux机器。

Pwn模块

• CVE-2019-11581（Jira）
• CVE-2019-10149（进出口银行）
• CVE-2019-0192（太阳能）
• CVE-2018-1000861（詹金斯）
• CVE-2019-7238（Nexus存储库管理器3）

扫描模块

• BlueKeep扫描仪
• 吉拉扫描仪
• Solr扫描仪

暴力强迫模块

• CouchDB实例
• Redis实例

扩展模块

• Apache ActiveMQ（CVE-2016-3088）
• 太阳能（CVE-2019-0192）
• Redis上的代码执行

扫描并强制模块发现一台运行有漏洞应用程序的Linux机器后，WatchBog在目标机器上部署一个脚本，从Pastebin网站下载Monero miner模块。

然后，恶意脚本还通过crontab在受感染的系统上获得持久性，并进一步下载一个新的spreader模块，该模块以动态链接的Cython编译的ELF可执行文件的形式出现。

研究人员建议Linux和Windows管理员针对已知漏洞保持软件和操作系统的最新状态，以防止自己成为此类攻击活动的受害者。

通过检查系统上是否存在“/tmp/.tmplasstgggzzzqppppppp12233333”文件或“/tmp/.gooobb”文件，可以发现WatchBog是否感染了Linux机器。