هشدارهای افتایی
اخیرا نوع جدیدی از بات‌نت WatchBog، بات‌نت کاوش‌گر رمزارز مبتنی بر لینوکس، کشف شده که به آن ماژول اسکنر آسیب‌پذیری (BlueKeep (CVE-2019-0708، اضافه شده است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی SecurityAffairs، نسخه جدید این بات‌نت که تاکنون 4500 سیستم لینوکسی را آلوده کرده است، دارای ماژول اسکنر آسیب‌پذیری BlueKeep (مربوط به پروتکل RDP ویندوز) است. این موضوع نشان می‌دهد که بات‌نت در حال آماده‌سازی لیستی از سیستم‌های آسیب‌پذیر برای هدف قرار دادن آن‌ها در آینده است.
آسیب‌پذیری BlueKeep با شناسه CVE-2019-0708 ردیابی می‌شود که در سرویس‌های دسترسی از راه دور دسکتاپ در ویندوز وجود دارد. این نقص در به‌روزرسانی‌های ماه می 2019 توسط مایکروسافت رفع شده است. طبق توضیح مایکروسافت، یک بدافزار با قابلیت تبدیل شدن به کرم می‌تواند از این آسیب‌پذیری بهره‌برداری کند. سوء استفاده از آسیب‌پذیری بدون تعامل کاربر انجام می‌شود و بدافزار می‌تواند خود را در شبکه گسترش دهد. اسکن‌های انجام شده در ماه می نشان دادند که حدود یک میلیون سیستم نسبت به این نقص آسیب‌پذیر هستند.
نسخه جدید بات‌نت WatchBog که اسکنر آسیب‌پذیری BlueKeep را به خود اضافه کرده است، در حال حاضر توسط اکثر برنامه‌های ضدویروس شناسایی نمی‌شود. اسکنر BlueKeep ابتدا سیستم‌های آسیب‌پذیر را در اینترنت شناسایی می‌کند و سپس لیستی از سرویس‌های RDP کشف شده را بصورت رمزشده با RC4 به اپراتورهای بات‌نت ارسال می‌کند.
علاوه بر این، در این نسخه از WatchBog اکسپلویت‌هایی برای آسیب‌پذیری‌های زیر در برنامه‌های لینوکس نیز وجود دارد:
•    CVE-2019-11581 (Jira)
•    CVE-2019-10149 (Exim)
•    CVE-2019-0192 (Solr)
•    CVE-2018-1000861 (Jenkins)
•    CVE-2019-7238 (Nexus Repository Manager 3)

همچنین اسکنرهایی برای جستجو نقص‌های Jira و Solr به همراه ماژول جستجوی فراگیر (Brute-force) برای CrouchDB و Redis نیز در بدافزار وجود دارد.
با اعمال وصله‌های مایکروسافت برای رفع آسیب‌پذیری BlueKeep و همچنین برطرف کردن نقص‌های برنامه‌های مورد هدف این بات‌نت در سیستم‌های لینوکسی، می‌توان از فعالیت آن جلوگیری کرد.

نشانه‌های آلودگی (IoC):
هش‌ها:
•    b17829d758e8689143456240ebd79b420f963722707246f5dc9b085a411f7b5e
•    26ebeac4492616baf977903bb8deb7803bd5a22d8a005f02398c188b0375dfa4
•    cdf11a1fa7e551fe6be1f170ba9dedee80401396adf7e39ccde5df635c1117a9
URLها:
•    https://9d842cb6.ngrok[.]io
•    https://7dc5fb4e.ngrok[.]io
•    https://z5r6anrjbcasuikp.onion[.]to
•    https://pastebin[.]com/raw/Dj3JTtnj
•    https://pastebin[.]com/raw/p3mGdbpq
•    https://pastebin[.]com/raw/UeynzXEr
•    https://pastebin[.]com/raw/MMCFQMH9
IPها:
•    3.14.212[.]173
•    3.14.202[.]129
•    3.17.202[.]129
•    3.19.3[.]150
•    18.188.14[.]65
منابع:
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.