Ботнет WatchDog на протяжении двух лет атакует Windows- и Linux-серверы

[Artifact]

Операторы ботнета перехватывают контроль над серверами для добычи криптовалюты Monero.

Исследователи безопасности из подразделения Unit 42 компании Palo Alto Networks рассказали подробности об одной из крупнейших и продолжительных вредоносных кампаний по криптоджекингу с целью добычи криптовалюты Monero. Операторы ботнета WatchDog действуют с января 2019 года и уже успели добыть не менее 209 Monero на общую сумму около $32 тыс. По словам экспертов, WatchDog написан на языке программирования Go и заражает системы под управлением Windows и Linux.
Точкой входа для атак операторов ботнета были устаревшие корпоративные приложения — злоумышленники использовали 33 различных эксплойта для 32 уязвимостей в программном обеспечении, таком как Drupal, Elasticsearch, Apache Hadoop, Redis, Spring Data Commons, SQL Server, ThinkPHP, Oracle WebLogic и CCTV (в настоящее время неизвестно, является ли целью устройства видеонаблюдения или имеется в виду другое ПО с названием «cctv»).
По результатам анализа вредоносного ПО WatchDog, исследователи оценили размер ботнета от 500 до 1 тыс. зараженных систем.
На зараженных серверах WatchDog обычно работает с правами администратора и может без каких-либо затруднений выполнять сканирование и дамп учетных данных по команде операторов.
WatchDog состоит из двоичного набора из трех частей и файла скрипта bash или PowerShell. Двоичные файлы выполняют определенные функции, одна из которых имитирует функциональность сторожевого демона Linux, гарантируя, что процесс добычи не зависнет, не перегрузится или не завершится неожиданно. Второй двоичный файл, написанный на языке Go, загружает настраиваемый список сетевых диапазонов IP-адресов перед тем, как предоставить функциональные возможности целевых операций эксплуатации идентифицированных систем NIX или Windows, обнаруженных во время операции сканирования. Наконец, третий двоичный скрипт инициирует операцию добычи криптовалюты на операционных системах Windows или NIX с использованием пользовательских конфигураций из инициированного скрипта bash или PowerShell.
Криптоджекинг (cryptojacking) – процесс выполнения операций криптомайнинга на системах, которые не принадлежат и не обслуживаются операторами майнинга.