WatchDog Malware
Infosec-onderzoekers hebben een cryptojacking-campagne ontdekt die al meer dan 2 jaar stilletjes onder de radar werkt en nog steeds operationeel is. De hackers zijn er tot dusver in geslaagd om minstens 476 Windows- en Linux-systemen te doorbreken en hebben naar schatting 209 Monero-cryptocurrency-munten gegenereerd. De prijzen van cryptocurrency zijn notoir volatiel, maar tegen de huidige prijs van Monero hebben de cybercriminelen meer dan $ 30.000 verzameld. Als de opwaartse trend aanhoudt, zou de prijs van de Monero-munten hoger kunnen stijgen, wat resulteert in nog grotere winsten voor de hackers.
De malware die in de campagne wordt ingezet, wordt de WatchDog Malware genoemd. Het bestaat uit een set van drie binaire bestanden die zijn geschreven in de open-source programmeertaal Go en een bash- of PowerShell-scriptbestand. Elk onderdeel van de binaire set is verantwoordelijk voor het uitvoeren van een andere taak. Het netwerkbeheerderbestand wordt uitgevoerd als een netwerkscan en de eerste exploitatievector. In tegenstelling tot eerder gevestigde malware-stammen met cryptojacking, is WatchDog uitgerust met een enorm scala aan exploits en kwetsbaarheden die het kan gebruiken - 33 specifieke exploits, 32 RCE-functies (Remote Code Execution) en verschillende shell-grab-functies. Tot de doelwitten van de dreiging behoren kwetsbare Elasticsearch- en OracleWebLogic-servers. WatchDog maakt gebruik van de kwetsbaarheden CVE-2015-1427 en CVE-2014-3120 voor Elastisearch en CVE-2017-10271 voor de Oracle WebLogic-servers.
Het tweede binaire deel (phpguard) emuleert een legitieme watchdog-daemon en zorgt ervoor dat de geschonden systemen niet overbelast raken of een kritieke fout oplopen. Het kan het geheugengebruik, de momenteel actieve processen en de procestabelruimte testen en ervoor zorgen dat alles binnen de norm valt en ervoor zorgen dat het systeem niet opnieuw wordt ingesteld. Het laatste deel van WatchDog (phpupdate) is de bedreigende payload - een versie van de XMRig cryptomining- malware.
Tot dusverre zijn de criminelen achter de WatchDog-campagne tevreden met het beperken van hun werking tot alleen cryptojacking. Infosec-onderzoekers waarschuwen echter dat de hackers de omvang van hun aanval snel zouden kunnen escaleren dankzij de identiteits- en toegangsbeheer (IAM) -gegevens die zijn verkregen van de reeds geschonden systemen. De verzamelde inloggegevens kunnen door de aanvallers worden gebruikt om veel meer bedreigende stukjes malware te leveren.
