El retorno de la botnet WatchBog actualizada

WatchBog es una botnet de minería de criptomoneda que fue detectada en Noviembre de 2018. Este malware explota vulnerabilidades conocidas que comprometen a los servidores Linux.

Desde la última versión conocida de WatchBog se ha implementado un nuevo módulo que adiciona la posibilidad de explotar nuevas vulnerabilidades. De acuerdo a lo expuesto por Intezer, esta nueva versión incorpora exploits recientemente publicados, que involucran a Jira, Exim y Solr. Además incorpora un escáner de BlueKeep con el fin de encontrar máquinas de Windows vulnerables. (Ver referencias)

Modus operandi

Este malware agrega comandos maliciosos a la tarea programada en el crontab para su propia persistencia y luego descarga módulos de Monero desde Pastebin.
La buena noticia es que los servidores infectados no atacan a sus pares, es decir que el propio troyano no se propaga de forma lateral en la red.

Se recomienda:

  • A los usuarios de Windows, instalar las actualizaciones de seguridad brindadas por Microsoft para mitigar la vulnerabilidad BlueKeep
  • A los usuarios de Linux, utilizar Exim, Jira, Solr, Jenkins o Nexus Repository Manager 3 y actualizar a las últimas versiones
  • A aquellos usuarios de Linux que utilicen Redis o CouchDB, asegurarse de no tener puertos expuestos fuera de las redes de confianza y cerrar todos los puertos que no se necesiten
  • Es posible corroborar la infección si se encuentran los siguientes archivos archivos “/tmp/.tmplassstgggzzzqpppppp12233333” y/o “/tmp/.gooobb” dentro del sistema
  • Analizar la utilización de reglas YARA que fueron creadas basadas en el código malicioso de WatchBog para su detección (Ver referencias)

REFERENCIAS

Actualización Microsoft disponible en: https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

Más detalles técnicos:

https://www.alibabacloud.com/blog/return-of-watchbog-exploiting-jenkins-cve-2018-1000861_594798

https://www.intezer.com/blog-watching-the-watchbog-new-bluekeep-scanner-and-linux-exploits/

https://github.com/intezer/yara-rules/blob/master/WatchBog.yar

CVE´s relacionados

CVE-2019-11581 de Jira (12 días después del lanzamiento del exploit): https://www.tenable.com/blog/cve-2019-11581-critical-template-injection-vulnerability-in-atlassian-jira-server-and-data

CVE-2019-10149 de Exim: https://www.tenable.com/blog/cve-2019-10149-critical-remote-command-execution-vulnerability-discovered-in-exim

CVE-2019-0192 de Solr: https://www.tenable.com/cve/CVE-2019-0192

CVE-2019-0708 Ejecución remota de código RDP https://www.tenable.com/cve/CVE-2019-0708