الرئيسية / أجهزة كمبيوتر / يمكن لمتغير البرامج الضارة الجديد لـ Watchbog البحث عن أجهزة الكمبيوتر المعرضة لاستغلالات BlueKeep

يمكن لمتغير البرامج الضارة الجديد لـ Watchbog البحث عن أجهزة الكمبيوتر المعرضة لاستغلالات BlueKeep

اكتشف باحثو الأمن السيبراني نوعًا جديدًا من WatchBog وهو برنامج الروبوتات الخبيثة لتعدين العملة المشفرة المستندة إلى نظام لينكس والذي يشتمل الآن على وحدة لمسح الإنترنت لخوادم Windows RDP المعرضة لخطأ Bluekeep.

BlueKeep عبارة عن ثغرة أمنية شديدة الخطورة والميدة في تنفيذ التعليمات البرمجية عن بُعد في خدمات سطح المكتب البعيد لـ ويندوز والتي قد تسمح لمهاجم بعيد غير مصادق بالتحكم الكامل في الأنظمة المعرضة للخطر فقط عن طريق إرسال طلبات مصممة خصيصًا عبر بروتوكول RDP.

على الرغم من أن تصحيحات مشكلة عدم حصانة BlueKeep (CVE – 2019-0708) قد تم إصدارها بالفعل بواسطة مايكروسوفت في مايو من هذا العام إلا أن أكثر من 800،000 جهاز يعمل بنظام ويندوز يمكن الوصول إليها عبر الإنترنت لا تزال عرضة للعيوب الخطيرة.

لحسن الحظ حتى بعد قيام العديد من الأفراد في مجتمع الأمان بتطوير عمليات استغلال التعليمات البرمجية عن بُعد التي تعمل لصالح BlueKeep لا يوجد استغلال عام لإثبات صحة الفكرة (PoC) حتى هذا التاريخ مما يحتمل أن يمنع المتسللين الانتهازيين من إحداث الفوضى.

ومع ذلك أصدرت شركة Immunity للأمن السيبراني بالأمس نسخة محدثة من أداة تقييم القابلية للتأثر الآلي واختبار الاختراق (VAPT) ، CANVAS 7.23 والتي تتضمن وحدة نمطية جديدة لاستغلال BlueKeep RDP.

ويبدو أن المهاجمين وراء WatchBog يستخدمون شبكة الروبوتات الخاصة بهم لإعداد “قائمة بالأنظمة الضعيفة للاستهداف في المستقبل أو البيع لبائعي الطرف الثالث من أجل الربح” كما حذر الباحثون من Intezer Lab الذين اكتشفوا متغير WatchBog الجديد.

وقال الباحثون “إن دمج الماسح الضوئي BlueKeep بواسطة الروبوتات لينكس قد يشير إلى أن WatchBog بدأت في استكشاف الفرص المالية على منصة مختلفة”.

يمسح برنامج BlueKeep الموجود في WatchBog الإنترنت ثم يقدم قائمة بمضيفي RDP المكتشفين حديثًا كسلسلة بيانات سداسية عشرية مشفرة باستخدام RC4 إلى الخوادم التي يسيطر عليها المهاجمون.

ووفقًا للباحث فإن متغير WatchBog الجديد قد تعرض بالفعل لأكثر من 4500 جهاز Linux في الشهرين الأخيرين.

على الرغم من أن WatchBog تعمل منذ أواخر العام الماضي إلا أن المهاجمين يوزعون المتغير الجديد في حملة مستمرة نشطة منذ أوائل يونيو من هذا العام.

ويشتمل متغير WatchBog المكتشف حديثًا على وحدة نشر جديدة إلى جانب عمليات استغلال لبعض الثغرات الأمنية التي تم تصحيحها مؤخرًا في تطبيقات لينكس مما يسمح للمهاجمين بالعثور على المزيد من أنظمة لينكس وتسويتها بسرعة.

وتحتوي البرامج الضارة لـ WatchBog Linux botnet على عدة وحدات كما هو موضح هيكلياً أدناه والتي تعمل على زيادة الثغرات الأمنية التي تم تصحيحها مؤخرًا في تطبيقات Exim و Jira و Solr و Jenkins و ThinkPHP و Nexus للتنازل عن أجهزة Linux.

“Pwn Module”  الوحدة الخاصة 

CVE-2019-11581 (Jira)

CVE-2019-10149 (Exim)

CVE-2019-0192 (Solr)

CVE-2018-1000861 (Jenkins)

CVE-2019-7238 (Nexus Repository Manager 3)

“Scanning Module “وحدة المسح الضوئي 

BlueKeep Scanner

Jira Scanner

Solr Scanner

Brute-forcing Module

CouchDB instances

Redis instances

“Spreading Module” نشر الوحدة 

Apache ActiveMQ (CVE-2016-3088)

Solr (CVE-2019-0192)

 بعد اكتشاف وحدات المسح الضوئي والتأثير الغاشم على جهاز لينكس يعمل على تشغيل التطبيق المستضعف وتقوم WatchBog بنشر برنامج نصي على الجهاز المستهدف لتنزيل وحدات Monero miner من موقع Pastebin.

ثم يكتسب البرنامج النصي الخبيث ثباتًا على النظام المصاب من خلال crontab ويقوم بتنزيل وحدة مفرشة جديدة والتي تأتي في شكل ملف قابل للتنفيذ ELF مرتبط ديناميكيًا ومتزامن مع Cython.

 واخيرًا أوصى الباحثون مسؤولي لينكس و ويندوز بإبقاء برامجهم وأنظمة التشغيل الخاصة بهم محدثة في مواجهة الثغرات المعروفة من أجل منع أنفسهم من الوقوع ضحية لحملات الهجوم هذه.

عن فدوى

شاهد أيضاً

مايكروسوفت تحذر من متصفح إنترنت إكسبلور الذي يقع تحت الهجمات النشطة

‫أصدرت الشركة العملاقة مايكروسوفت في وقت سابق اليوم تحذيرًا أمانًا طارئًا يحذر ملايين مستخدمي ويندوز …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *