WatchDog僵尸网络针对加密矿活动中的Windows和Linux服务器

PaloAlto Network警告WatchDog僵尸网络使用漏洞利用来接管Windows和Linux服务器并挖掘加密货币。

Palo Alto Networks的安全研究人员发现了一个针对Windows和Linux系统的,名为WatchDog的加密劫持僵尸网络。

WatchDog是安全专家发现的最大,持续时间最长的Monero加密劫持操作之一,其名称来自名为watchdogd的Linux守护程序的名称 。WatchDog僵尸网络至少自2019年1月27日以来一直处于活动状态,并且已经开采了至少209个Monero(XMR),价值约32,056美元。

帕洛阿尔托(Palo Alto)专家确定,至少有476个系统受到僵尸网络的攻击,其中主要是Windows和NIX云实例,它们参与了采矿作业。

僵尸网络是用Go编程语言编写的,它是熟练的编码人员的工作。

该僵尸程序使用33种不同的漏洞利用程序来针对过时的企业应用程序,以利用32个漏洞。该漫游器使用的漏洞利用列表下方:

  • 闭路电视漏洞利用
    • 目前尚不知道目标是CCTV设备,还是有另一个绰号“ cctv”代表。
  • Drupal
    • 版本7和8。
  • 弹性搜索
    • CVE-2015-1427(Elasticsearch沙箱规避– 1.3.8之前的版本和1.4.3之前的1.4.x)
    • CVE-2014-3120(1.2之前的Elasticsearch)
  • 阿帕奇Hadoop
  • 电源外壳
    • 编码的命令行操作。
  • 雷迪斯
  • 春季数据共享区
    • CVE-2018-1273,1.13-1.13.10之前的版本,2.0-2.0.5
  • SQL服务器
  • ThinkPHP
    • 版本5.x,5.10、5.0.23
  • Oracle WebLogic服务器
    • CVE-2017-10271 –版本10.3.6.0.0、12.1.3.0.0、12.2.1.1.0和12.2.1.2.0)

通过分析config.json文件,专家可以识别三个XMR钱包地址:

  • 43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR
  • 82etS8QzVhqdiL6LMbb85BdEC3KgJeRGT3X1F3DQBnJa2tzgBJ54bn4aNDjuWDtpygBsRqcfGRK4gbbw3xUy3oJv7TwpUG4
  • 87q6aU1M9xmQ5p3wh8Jzst5mcFfDzKEuuDjV6u7Q7UDnAXJR7FLeQH2UYFzhQatde2WHuZ9LbxRsf3PGA8gpnGXL3G7iWMv

上面的XMR钱包地址至少与三个公共采矿池和一个私人采矿池一起使用,以处理采矿作业。

看门狗
WatchDog矿工操作的Maltego图表(Palo Alto Networks)

“很明显,WatchDog的操作员是熟练的编码人员,在采矿作业方面相对缺乏关注。尽管当前没有迹象表明存在其他危害云的活动(即,捕获云平台IAM凭据,访问ID或密钥),但可能会进一步损害云帐户。由于在植入密码劫持软件期间获得了根和管理访问权,这些参与者很可能在他们已经受到破坏的云系统上找到与IAM相关的信息。” ——帕洛阿尔托。

*编译:Domino

*来自:securityaffairs