Đã phát hiện ra một mạng botnet độc hại nhắm mục tiêu vào các máy chủ Windows và Linux trên toàn cầu trong gần hai năm

Do giá trị giao dịch của các loại tiền điện tử, đặc biệt là Bitcoin tăng mạnh gần đây, xu hướng các hệ thống trực tuyến toàn cầu bị tấn công bởi các botnet khai thác tiền ảo cũng gia tăng. mã ”. Bất kỳ hệ thống được bảo mật kém nào đều có thể dễ dàng trở thành nạn nhân của một mạng botnet độc hại.

Một ví dụ điển hình được phát hiện gần đây là trường hợp của một mạng botnet độc hại có tên WatchDog.

Mạng botnet này được phát hiện bởi Unit42, một nhóm chuyên gia bảo mật từ Palo Alto Networks. WatchDog hoạt động chủ yếu trong lĩnh vực khai thác tiền điện tử. Và điều đáng nói là mạng botnet này đã triển khai các chiến dịch độc hại từ tháng 1 năm 2019, nhưng phải đến tận bây giờ – sau khoảng thời gian gần 2 năm.

Đi sâu hơn vào quá trình phân tích, các nhà nghiên cứu nhận thấy WatchDog được viết bằng ngôn ngữ lập trình Go và đã ghi lại các trường hợp lây nhiễm sang cả hệ thống Windows và Linux.

Các mục tiêu chính trong các cuộc tấn công botnet này là các ứng dụng doanh nghiệp đã lỗi thời. Theo một phân tích chuyên sâu về hoạt động của mạng botnet WatchDog được công bố gần đây, Unit42 nói rằng những kẻ đứng sau mạng botnet này chạy ít nhất 33 phương pháp khai thác khác nhau để nhắm vào 32 lỗ hổng bảo mật. trong phần mềm kinh doanh chẳng hạn như

  • Drupal
  • Elasticsearch
  • Apache Hadoop
  • Redis
  • Spring Data Commons
  • Máy chủ SQL
  • ThinkPHP
  • Oracle WebLogic
  • Camera quan sát

Dựa trên manh mối mà nhóm Unit42 thu được bằng cách phân tích nhị phân phần mềm độc hại WatchDog, các nhà nghiên cứu ước tính kích thước của mạng botnet hiện còn lại là từ 500 đến 1.000 hệ thống bị nhiễm – một con số. không nhỏ.

Botnet

Lợi nhuận bất hợp pháp mà mạng botnet này kiếm được ước tính khoảng 209 Monero, tương đương 32.000 USD theo tỷ giá hối đoái hiện tại. Tuy nhiên, con số thực được cho là cao hơn nhiều khi các nhà nghiên cứu chỉ tập trung vào phân tích một số mã nhị phân nhất định và băng nhóm đứng sau hoạt động mạng botnet được cho là đã sử dụng nhiều địa chỉ Monero hơn. để thu tiền khai thác tiền điện tử bất hợp pháp.

Tin tốt cho các chủ sở hữu máy chủ Windows và Linux trên khắp thế giới là WatchDog vẫn chưa sánh ngang với các botnet khai thác tiền điện tử phổ biến gần đây như TeamTNT và Rocke. Hai mạng botnet này đã thêm một loạt tính năng cho phép chúng trích xuất thông tin đăng nhập hệ thống AWS và Docker từ các máy chủ bị nhiễm.

Tuy nhiên, nhóm Unit42 cảnh báo rằng WatchDog đang phát triển nhanh chóng cả về quy mô và mức độ nguy hiểm. Nếu không có sự can thiệp kịp thời, việc botnet trở thành thế lực chỉ còn là vấn đề thời gian.

Trên các máy chủ bị nhiễm, WatchDog thường chạy với các đặc quyền của quản trị viên và có thể thực hiện cả quét và hiển thị thông tin xác thực mà không gặp bất kỳ khó khăn nào.

Để bảo vệ hệ thống chống lại mối đe dọa mới này, lời khuyên duy nhất cho các quản trị viên CNTT là cập nhật hệ thống và ứng dụng của họ thường xuyên. Điều này sẽ giúp ngăn chặn các cuộc tấn công nhắm vào các lỗ hổng cũ trong hệ thống ngay từ đầu.