WatchDog Malware

Infosec-forskere har afdækket en cryptojacking-kampagne, der har arbejdet under radaren i mere end 2 år stille og stadig fungerer. Hackerne har hidtil formået at bryde mindst 476 Windows- og Linux-systemer og har genereret anslået 209 Monero-kryptomønter. Priserne på kryptovaluta er berygtede, men til den nuværende pris på Monero har cyberkriminelle samlet mere end $ 30.000. Hvis den opadgående tendens holder fast, kan prisen på Monero-mønterne stige højere, hvilket resulterer i endnu større gevinster for hackerne.

Den malware, der er indsat i kampagnen, kaldes WatchDog Malware. Den består af et sæt af tre binære filer skrevet i open source-programmeringssproget Go og en bash- eller PowerShell-scriptfil. Hver del af det binære sæt er ansvarlig for at udføre en anden opgave. Netværksadministratorfilen udføres som en netværksscanning og den indledende udnyttelsesvektor. I modsætning til tidligere etablerede cryptojacking-malware-stammer er WatchDog udstyret med en massiv række udnyttelser og sårbarheder, som den kan bruge - 33 specifikke exploits, 32 RCE-funktioner (ekstern kodeudførelse) og flere shell grab-funktioner. Blandt målene for truslen er sårbare Elasticsearch- og OracleWebLogic-servere. WatchDog udnytter sårbarhederne CVE-2015-1427 og CVE-2014-3120 til Elastisearch og CVE-2017-10271 til Oracle WebLogic-serverne.

Den anden binære del (phpguard) emulerer en legitim watchdog-dæmon og sikrer, at de brudte systemer ikke bliver overbelastede eller får en kritisk fejl. Det kan teste hukommelsesforbruget, de aktuelt aktive processer og procesbordpladsen og sikre, at alt er inden for normen og forhindrer systemet i at nulstille. Den sidste del af WatchDog (phpupdate) er den truende nyttelast - en version af XMRig- kryptomining-malware.

Indtil videre er de kriminelle bag WatchDog-kampagnen tilfredse med at begrænse deres drift til kun cryptojacking. Imidlertid advarer infosec-forskere om, at hackerne hurtigt kan eskalere omfanget af deres angreb takket være identitets- og adgangsstyringsdata (IAM), der er erhvervet fra de allerede brudte systemer. De høstede legitimationsoplysninger kunne udnyttes af angriberne til at levere langt mere truende stykker malware.