Los investigadores de Intezer Labs descubrieron y analizaron una nueva versión de un malware de minería de criptomonedas basado en Linux denominado WatchBog, que ahora viene con el escáner diseñado para buscar servidores RDP de Windows vulnerables a la falla de BlueKeep ( SB2019051501 - CVE-2019-0708 ).
La vulnerabilidad en cuestión es un error de ejecución remota de código en el servicio RDP. Un ataque exitoso permitiría al atacante ejecutar código en el entorno del Servicio de Escritorio Remoto (también conocido como servicios de Terminal). La falla afecta a las versiones de Windows no parcheadas que van desde Windows 2000 a Windows Server 2008 y Windows 7. Según Microsoft, “la vulnerabilidad es una autenticación previa y no requiere la interacción del usuario. En otras palabras, la vulnerabilidad es 'wormable', lo que significa que cualquier malware futuro que explote esta vulnerabilidad podría propagarse de una computadora vulnerable a otra vulnerable de una manera similar a como el malware WannaCry se difundió por todo el mundo en 2017 ”.
Aunque no hay PoC pública disponible para lograr el RCE utilizando esta vulnerabilidad, y no se han detectado ataques en la naturaleza, parece que los ciberdelincuentes se están preparando para futuras operaciones.
Una vez en el sistema, WatchBog escaneará una lista predefinida de direcciones IP extraídas de un servidor de comando y control (C2) para identificar sistemas Windows vulnerables y luego enviará los datos recopilados a C2. Al analizar las listas de IP utilizadas para el escaneo RDP, los investigadores encontraron algunas de las direcciones IP que pertenecían a la infraestructura de Vodafone Australia y Tencent Computer Systems. En cuanto a la razón detrás de estas acciones, Intezer cree que los operadores de Watchbog recopilan información sobre sistemas vulnerables para su uso en futuros ataques o tienen la intención de venderla a terceros.
En campañas anteriores, el grupo ha aprovechado vulnerabilidades conocidas en sistemas Linux y recientemente ha ampliado su lista de implantes para dirigirse a más servidores. El arsenal ahora incluye exploits recientemente publicados, como el SB2019072207 (CVE-2019-11581) de Jira, el SB2019060505 (CVE-2019-10149) de Exim, el SB2019030611 de Exim (CVE-2019-0192) , SB2018121801 # 4 de Solr (CVE-2019-1202) 1000861) y SB2019032114 (CVE-2019-7238) de Nexus Repository Manager 3 . El software malicioso WatchBog también incluye dos módulos para forzar en Brute las instancias de CouchDB y Redis junto con el código para lograr RCE.
“La incorporación del escáner BlueKeep por una botnet de Linux puede indicar que WatchBog está comenzando a explorar oportunidades financieras en una plataforma diferente. Actualmente, no se conocen PoC de RCE BlueKeep públicos y será interesante monitorear este grupo una vez que se publique un PoC ”, concluyeron los investigadores.
