Криптомайнинговый ботнет WatchBog использует Pastebin как C&C-сервер.

[Artifact]

Криптомайнинговый ботнет WatchBog задействует web-приложение Pastebin для C&C-операций. Данный ботнет еще с 2018 года сосредоточен на использовании Linux-систем для майнинга криптовалюты Monero, однако в июле нынешнего года во вредоносное ПО был добавлен код для сканирования на предмет уязвимости BlueKeep в Windows. Ботнет в основном эксплуатирует такие известные уязвимости, как CVE-2018-1000861 (в Jenkins), CVE-2019-11581 (Jira), CVE-2019-10149 (Exim) и CVE-2019-0192 (Sol).
По словам исследователей из команды Cisco Talos, данное вредоносное ПО для Linux в значительной степени полагается на сервис Pastebin, который выступает в роли C&C-сервера. Исследователям удалось получить представление об атаке и намерениях ее организаторов, проанализировав различные публикации на сайте. По всей видимости, преступники предлагали услуги по выявлению уязвимостей в корпоративных системах до того, как это смогут сделать «настоящие злоумышленники». Однако на самом деле обнаруженные уязвимые системы вскоре становились частью криптомайнингового ботнета.
Заразив систему, вредонос проверяет наличие других майнеров и пытается завершить их работу. Далее он определяет возможность записи в различные каталоги, проверяет архитектуру системы, а затем делает три попытки загрузить и установить дроппер. Скрипт установки извлекает содержимое URL-адреса Pastebin, содержащего идентификатор кошелька Monero и информацию о майнинге, а затем загружает майнер криптовалюты. Скрипт проверяет, запущен ли процесс «watchbog», в противном случае вызывает функции «testa» или «download».
Код в функции «testa» отвечает за запись данных конфигурации, используемых программным обеспечением для майнинга. Функция создает три переменные и присваивает каждой из них данные в кодировке base64. Затем данные декодируются и записываются в различные файлы. Скрипт загружает закодированные Pastebins в виде текстового файла, дает разрешения на выполнение, а затем запускает процесс Watchbog и удаляет файл.
Код в функции «download» выполняет аналогичные операции. Он записывает содержимое, извлеченное из различных файлов, определяет архитектуру системы, устанавливает соответствующий клиент для майнинга и запускает его.
По словам исследователей, операторы WatchBog используют SSH-протокол для продвижения по сети. Скрипт извлекает содержимое файла known_hosts и пытается подключится по SSH к системам. Вредонос также проверяет наличие ключей SSH для авторизации на целевых системах.