LACNIC CSIRT

El retorno de la botnet WatchBog actualizada

WatchBog es una botnet de minería de criptomoneda que fue detectada en Noviembre de 2018. Este malware explota vulnerabilidades conocidas que comprometen a los servidores Linux.

Desde la última versión conocida de WatchBog se ha implementado un nuevo módulo que adiciona la posibilidad de explotar nuevas vulnerabilidades. De acuerdo a lo expuesto por Intezer, esta nueva versión incorpora exploits recientemente publicados, que involucran a Jira, Exim y Solr. Además incorpora un escáner de BlueKeep con el fin de encontrar máquinas de Windows vulnerables. (Ver referencias)

Modus operandi

Este malware agrega comandos maliciosos a la tarea programada en el crontab para su propia persistencia y luego descarga módulos de Monero desde Pastebin.
La buena noticia es que los servidores infectados no atacan a sus pares, es decir que el propio troyano no se propaga de forma lateral en la red.

Se recomienda:

  • A los usuarios de Windows, instalar las actualizaciones de seguridad brindadas por Microsoft para mitigar la vulnerabilidad BlueKeep
  • A los usuarios de Linux, utilizar Exim, Jira, Solr, Jenkins o Nexus Repository Manager 3 y actualizar a las últimas versiones
  • A aquellos usuarios de Linux que utilicen Redis o CouchDB, asegurarse de no tener puertos expuestos fuera de las redes de confianza y cerrar todos los puertos que no se necesiten
  • Es posible corroborar la infección si se encuentran los siguientes archivos archivos “/tmp/.tmplassstgggzzzqpppppp12233333” y/o “/tmp/.gooobb” dentro del sistema
  • Analizar la utilización de reglas YARA que fueron creadas basadas en el código malicioso de WatchBog para su detección (Ver referencias)

REFERENCIAS

Actualización Microsoft disponible en: https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

Más detalles técnicos:

https://www.alibabacloud.com/blog/return-of-watchbog-exploiting-jenkins-cve-2018-1000861_594798

https://www.intezer.com/blog-watching-the-watchbog-new-bluekeep-scanner-and-linux-exploits/

https://github.com/intezer/yara-rules/blob/master/WatchBog.yar

CVE´s relacionados

CVE-2019-11581 de Jira (12 días después del lanzamiento del exploit): https://www.tenable.com/blog/cve-2019-11581-critical-template-injection-vulnerability-in-atlassian-jira-server-and-data

CVE-2019-10149 de Exim: https://www.tenable.com/blog/cve-2019-10149-critical-remote-command-execution-vulnerability-discovered-in-exim

CVE-2019-0192 de Solr: https://www.tenable.com/cve/CVE-2019-0192

CVE-2019-0708 Ejecución remota de código RDP https://www.tenable.com/cve/CVE-2019-0708