Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 17-18 июня на Форуме ITSEC 2025
Регистрируйтесь и участвуйте!

Криптомайнинговый ботнет WatchBog использует Pastebin как C&C-сервер

13/09/19

hack66-1Криптомайнинговый ботнет WatchBog задействует web-приложение Pastebin для C&C-операций. Данный ботнет еще с 2018 года сосредоточен на использовании Linux-систем для майнинга криптовалюты Monero, однако в июле нынешнего года во вредоносное ПО был добавлен код для сканирования на предмет уязвимости BlueKeep в Windows. Ботнет в основном эксплуатирует такие известные уязвимости, как CVE-2018-1000861 (в Jenkins), CVE-2019-11581 (Jira), CVE-2019-10149 (Exim) и CVE-2019-0192 (Sol).

По словам исследователей из команды Cisco Talos, данное вредоносное ПО для Linux в значительной степени полагается на сервис Pastebin, который выступает в роли C&C-сервера. Исследователям удалось получить представление об атаке и намерениях ее организаторов, проанализировав различные публикации на сайте. По всей видимости, преступники предлагали услуги по выявлению уязвимостей в корпоративных системах до того, как это смогут сделать «настоящие злоумышленники». Однако на самом деле обнаруженные уязвимые системы вскоре становились частью криптомайнингового ботнета.

Заразив систему, вредонос проверяет наличие других майнеров и пытается завершить их работу. Далее он определяет возможность записи в различные каталоги, проверяет архитектуру системы, а затем делает три попытки загрузить и установить дроппер. Скрипт установки извлекает содержимое URL-адреса Pastebin, содержащего идентификатор кошелька Monero и информацию о майнинге, а затем загружает майнер криптовалюты. Скрипт проверяет, запущен ли процесс «watchbog», в противном случае вызывает функции «testa» или «download».

Код в функции «testa» отвечает за запись данных конфигурации, используемых программным обеспечением для майнинга. Функция создает три переменные и присваивает каждой из них данные в кодировке base64. Затем данные декодируются и записываются в различные файлы. Скрипт загружает закодированные Pastebins в виде текстового файла, дает разрешения на выполнение, а затем запускает процесс Watchbog и удаляет файл.

Код в функции «download» выполняет аналогичные операции. Он записывает содержимое, извлеченное из различных файлов, определяет архитектуру системы, устанавливает соответствующий клиент для майнинга и запускает его.

По словам исследователей, операторы WatchBog используют SSH-протокол для продвижения по сети. Скрипт извлекает содержимое файла known_hosts и пытается подключится по SSH к системам. Вредонос также проверяет наличие ключей SSH для авторизации на целевых системах.

Темы:КриптовалютыУгрозыботнетCisco Talos
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 18 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 17-18 июня →

Еще темы...

More...