Новая версия вредоносного ПО Watchbog способна искать уязвимые к BlueKeep системы Windows,говорится в отчете Intezer Labs. Раньше вредонос использовался для заражения серверов на базе Linux с помощью эксплоитов для уязвимостей в Jira, Exim, Nexus Repository Manager 3, ThinkPHP и Solr Linux.
BlueKeep затрагивает службы удаленного рабочего стола (Remote Desktop Services), ранее известные как службы терминалов (Terminal Services). Данная уязвимость не требует авторизации или какого-либо взаимодействия с пользователем. Другими словами, она «червеподобна», то есть позволяет вредоносному ПО распространяться от компьютера к компьютеру подобно тому, как вредоносная программа WannaCry распространилась по всему миру в 2017 году.
Включенный в WatchBog сканер BlueKeep представляет собой написанную на Python модифицированную версию сканера, разработанного для поиска уязвимости удаленного выполнения кода (CVE-2019-0708) в RDP. После запуска на зараженном устройстве сканер начинает проверку всех IP-адресов из списка, полученного с C&C-сервера. По завершении сканирования Watchbog отправляет список уязвимых хостов на C&C-сервер. Как полагают исследователи, злоумышленники собирают информацию об уязвимых системах для использования в дальнейших атаках или продажи сторонним лицам.
Помимо эксплоитов для уязвимостей в Jira, Exim, Nexus Repository Manager 3, Solr Linux и Jenkins, специалисты обнаружили два модуля для брутфорса установок CouchDB и Redis и удаленного выполнения кода.
Ранее на GitHub был опубликован подробный технический анализ BlueKeep, а также незавершенный PoC-код для атак на системы под управлением Windows XP.
BlueKeep затрагивает службы удаленного рабочего стола (Remote Desktop Services), ранее известные как службы терминалов (Terminal Services). Данная уязвимость не требует авторизации или какого-либо взаимодействия с пользователем. Другими словами, она «червеподобна», то есть позволяет вредоносному ПО распространяться от компьютера к компьютеру подобно тому, как вредоносная программа WannaCry распространилась по всему миру в 2017 году.
Включенный в WatchBog сканер BlueKeep представляет собой написанную на Python модифицированную версию сканера, разработанного для поиска уязвимости удаленного выполнения кода (CVE-2019-0708) в RDP. После запуска на зараженном устройстве сканер начинает проверку всех IP-адресов из списка, полученного с C&C-сервера. По завершении сканирования Watchbog отправляет список уязвимых хостов на C&C-сервер. Как полагают исследователи, злоумышленники собирают информацию об уязвимых системах для использования в дальнейших атаках или продажи сторонним лицам.
Помимо эксплоитов для уязвимостей в Jira, Exim, Nexus Repository Manager 3, Solr Linux и Jenkins, специалисты обнаружили два модуля для брутфорса установок CouchDB и Redis и удаленного выполнения кода.
Ранее на GitHub был опубликован подробный технический анализ BlueKeep, а также незавершенный PoC-код для атак на системы под управлением Windows XP.