PaloAlto Network警告WatchDog僵尸网络使用漏洞利用来接管Windows和Linux服务器并挖掘加密货币。
Palo Alto Networks的安全研究人员发现了一个针对Windows和Linux系统的,名为WatchDog的加密劫持僵尸网络。
WatchDog是安全专家发现的最大,持续时间最长的Monero加密劫持操作之一,其名称来自名为watchdogd的Linux守护程序的名称 。WatchDog僵尸网络至少自2019年1月27日以来一直处于活动状态,并且已经开采了至少209个Monero(XMR),价值约32,056美元。
帕洛阿尔托(Palo Alto)专家确定,至少有476个系统受到僵尸网络的攻击,其中主要是Windows和NIX云实例,它们参与了采矿作业。
僵尸网络是用Go编程语言编写的,它是熟练的编码人员的工作。
该僵尸程序使用33种不同的漏洞利用程序来针对过时的企业应用程序,以利用32个漏洞。该漫游器使用的漏洞利用列表下方:
- 闭路电视漏洞利用
- 目前尚不知道目标是CCTV设备,还是有另一个绰号“ cctv”代表。
- Drupal
- 版本7和8。
- 弹性搜索
- CVE-2015-1427(Elasticsearch沙箱规避– 1.3.8之前的版本和1.4.3之前的1.4.x)
- CVE-2014-3120(1.2之前的Elasticsearch)
- 阿帕奇Hadoop
- 电源外壳
- 编码的命令行操作。
- 雷迪斯
- 春季数据共享区
- CVE-2018-1273,1.13-1.13.10之前的版本,2.0-2.0.5
- SQL服务器
- ThinkPHP
- 版本5.x,5.10、5.0.23
- Oracle WebLogic服务器
- CVE-2017-10271 –版本10.3.6.0.0、12.1.3.0.0、12.2.1.1.0和12.2.1.2.0)
通过分析config.json文件,专家可以识别三个XMR钱包地址:
- 43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR
- 82etS8QzVhqdiL6LMbb85BdEC3KgJeRGT3X1F3DQBnJa2tzgBJ54bn4aNDjuWDtpygBsRqcfGRK4gbbw3xUy3oJv7TwpUG4
- 87q6aU1M9xmQ5p3wh8Jzst5mcFfDzKEuuDjV6u7Q7UDnAXJR7FLeQH2UYFzhQatde2WHuZ9LbxRsf3PGA8gpnGXL3G7iWMv
上面的XMR钱包地址至少与三个公共采矿池和一个私人采矿池一起使用,以处理采矿作业。
“很明显,WatchDog的操作员是熟练的编码人员,在采矿作业方面相对缺乏关注。尽管当前没有迹象表明存在其他危害云的活动(即,捕获云平台IAM凭据,访问ID或密钥),但可能会进一步损害云帐户。由于在植入密码劫持软件期间获得了根和管理访问权,这些参与者很可能在他们已经受到破坏的云系统上找到与IAM相关的信息。” ——帕洛阿尔托。
*编译:Domino
*来自:securityaffairs