Новая версия вредоносного ПО Watchbog способна искать уязвимые к BlueKeep системы Windows, говорится в отчете Intezer Labs. Раньше вредонос использовался для заражения серверов на базе Linux с помощью эксплоитов для уязвимостей в Jira, Exim, Nexus Repository Manager 3, ThinkPHP и Solr Linux.

BlueKeep затрагивает службы удаленного рабочего стола (Remote Desktop Services), ранее известные как службы терминалов (Terminal Services). Данная уязвимость не требует авторизации или какого-либо взаимодействия с пользователем. Другими словами, она «червеподобна», то есть позволяет вредоносному ПО распространяться от компьютера к компьютеру подобно тому, как вредоносная программа WannaCry распространилась по всему миру в 2017 году.

Включенный в WatchBog сканер BlueKeep представляет собой написанную на Python модифицированную версию сканера, разработанного для поиска уязвимости удаленного выполнения кода (CVE-2019-0708) в RDP. После запуска на зараженном устройстве сканер начинает проверку всех IP-адресов из списка, полученного с C&C-сервера. По завершении сканирования Watchbog отправляет список уязвимых хостов на C&C-сервер. Как полагают исследователи, злоумышленники собирают информацию об уязвимых системах для использования в дальнейших атаках или продажи сторонним лицам.

Помимо эксплоитов для уязвимостей в Jira, Exim, Nexus Repository Manager 3, Solr Linux и Jenkins, специалисты обнаружили два модуля для брутфорса установок CouchDB и Redis и удаленного выполнения кода.

Ранее на GitHub был опубликован подробный технический анализ BlueKeep, а также незавершенный PoC-код для атак на системы под управлением Windows XP.

Подробнее: https://www.securitylab.ru/news/500163.php