WatchDog Malware

Infosec-Forscher haben eine Cryptojacking-Kampagne entdeckt, die seit über 2 Jahren leise unter dem Radar arbeitet und noch in Betrieb ist. Die Hacker haben es bisher geschafft, mindestens 476 Windows- und Linux-Systeme zu verletzen und schätzungsweise 209 Monero-Kryptowährungsmünzen generiert. Die Preise für Kryptowährungen sind notorisch volatil, aber zum aktuellen Preis von Monero haben sich die Cyberkriminellen über 30.000 US-Dollar angesammelt. Wenn sich der Aufwärtstrend fortsetzt, könnte der Preis der Monero-Münzen höher steigen, was zu noch größeren Gewinnen für die Hacker führt.

Die in der Kampagne bereitgestellte Malware wird als WatchDog-Malware bezeichnet. Es besteht aus drei Binärdateien, die in der Open-Source-Programmiersprache Go geschrieben sind, und einer Bash- oder PowerShell-Skriptdatei. Jeder Teil des Binärsatzes ist für die Ausführung einer anderen Aufgabe verantwortlich. Die Netzwerkmanagerdatei wird als Netzwerkscan und als anfänglicher Ausnutzungsvektor ausgeführt. Im Gegensatz zu zuvor etablierten Cryptojacking-Malware-Stämmen verfügt WatchDog über eine Vielzahl von Exploits und Schwachstellen, die es nutzen kann - 33 spezifische Exploits, 32 RCE-Funktionen (Remote Code Execution) und mehrere Shell-Grab-Funktionen. Zu den Zielen der Bedrohung zählen anfällige Elasticsearch- und OracleWebLogic-Server. WatchDog nutzt die Sicherheitsanfälligkeiten CVE-2015-1427 und CVE-2014-3120 für Elastisearch und CVE-2017-10271 für die Oracle WebLogic-Server aus.

Der zweite binäre Teil (phpguard) emuliert einen legitimen Watchdog-Daemon und stellt sicher, dass die beschädigten Systeme nicht überlastet werden oder einen kritischen Fehler erleiden. Es kann die Speichernutzung, die derzeit aktiven Prozesse und den Prozesstabellenbereich testen und sicherstellen, dass alles innerhalb der Norm liegt, und das System vor dem Zurücksetzen bewahren. Der letzte Teil von WatchDog (phpupdate) ist die bedrohliche Nutzlast - eine Version der XMRig- Cryptomining-Malware.

Bisher geben sich die Kriminellen hinter der WatchDog-Kampagne damit zufrieden, ihren Betrieb nur auf Cryptojacking zu beschränken. Infosec-Forscher warnen jedoch davor, dass die Hacker den Umfang ihres Angriffs dank der IAM-Daten (Identity and Access Management), die von den bereits verletzten Systemen erfasst wurden, schnell ausweiten könnten. Die gesammelten Anmeldeinformationen könnten von den Angreifern genutzt werden, um weitaus bedrohlichere Malware-Teile bereitzustellen.