WatchDog Вредоносное ПО

Исследователи Infosec обнаружили кампанию по взлому криптоджекинга, которая незаметно прорабатывалась более 2 лет и все еще действует. На данный момент хакерам удалось взломать не менее 476 систем Windows и Linux и сгенерировать около 209 монет криптовалюты Monero. Курсы криптовалюты, как известно, нестабильны, но при текущей цене Monero киберпреступники накопили более 30 000 долларов. Если тенденция к росту сохранится, цена монет Monero может вырасти, что приведет к еще большей выгоде для хакеров.

Вредоносное ПО, используемое в кампании, называется WatchDog Malware. Он состоит из набора из трех двоичных файлов, написанных на языке программирования с открытым исходным кодом Go, и файла сценария bash или PowerShell. Каждая часть двоичного набора отвечает за выполнение отдельной задачи. Файл сетевого менеджера выполняется как сканирование сети и как начальный вектор эксплуатации. В отличие от ранее установленных штаммов вредоносных программ для криптоджекинга, WatchDog оснащен огромным набором эксплойтов и уязвимостей, которые он может использовать - 33 специфических эксплойта, 32 функции удаленного выполнения кода (RCE) и несколько функций захвата оболочки. Среди целей угрозы - уязвимые серверы Elasticsearch и OracleWebLogic. WatchDog использует уязвимости CVE-2015-1427 и CVE-2014-3120 для Elastisearch и CVE-2017-10271 для серверов Oracle WebLogic.

Вторая двоичная часть (phpguard) эмулирует законного сторожевого пса и гарантирует, что взломанные системы не будут перегружены и не получат критических ошибок. Он может протестировать использование памяти, текущие активные процессы и табличное пространство процессов, а также убедиться, что все в пределах нормы и предотвратить сброс системы. Последняя часть WatchDog (phpupdate) - это опасная полезная нагрузка - версия вредоносной программы для майнинга криптовалют XMRig.

Пока что преступники, стоящие за кампанией WatchDog, довольны тем, что ограничивают свою деятельность только криптоджекингом. Однако исследователи информационной безопасности предупреждают, что хакеры могут быстро расширить масштабы своей атаки благодаря данным управления идентификацией и доступом (IAM), полученным из уже взломанных систем. Собранные учетные данные могут быть использованы злоумышленниками для доставки гораздо более опасных вредоносных программ.