国家计算机病毒应急处理中心通过对互联网的监测，发现一种名为“WatchBogMiner”的挖矿木马新型变种近期十分活跃，该木马会利用Redis未授权访问漏洞、Apache Flink远程代码执行漏洞针对云服务器进行入侵传播，下载挖矿木马并在受害人不知情的情况下利用系统资源恶意挖掘门罗币，以获取经济利益。研究人员根据其算力推测，该挖矿木马变种已控制超过8000台服务器进行恶意挖矿。 WatchBogMiner的最初版本是针对Linux服务器的挖矿木马，利用Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件的远程代码执行漏洞进行攻击。研究人员根据其最初下载的挖矿木马文件名，将其命名为“Watchbog”。而此次发现的WatchBogMiner新型变种则开始利用Redis未授权访问漏洞、Apache Flink远程代码执行漏洞针对云服务器进行入侵传播。

Apache Flink是一款分布式的计算引擎，其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。2019年11月Aapche Flink被曝出漏洞，WatchBogMiner新型变种可利用该漏洞直接在Apache Flink中上传任意jar包（Java归档文件），从而达到远程代码执行的目的。具体攻击流程分析如下：

（1）攻击者通过扫描找到存在Aapche Flink漏洞的云服务器，并针对该服务器上传恶意jar包；

（2）恶意jar包触发远程代码执行漏洞后，攻击者会利用crontab命令创建定时任务，每10分钟下载执行一次恶意脚本；

（3） 恶意脚本负责下载恶意挖矿程序，通过Base64解码后保存至目录 tmp/systemd-private-64aa0008dfb47a84a96f7974811b772f-systemd-timesyncd.service-TffNff/tmp/watohdog；

（4）watohdog是攻击者基于开源的门罗币挖矿工具XMRig进行开发修改得到的恶意挖矿程序，在被感染服务器中加载后自动开始挖掘门罗币；

此次发现的WatchBogMiner新型变种添加了2019年11月发布的Aapche Flink漏洞利用功能，专门针对云服务器进行感染和传播。研究人员表示，该挖矿木马的矿池平均算力为103 KH/s，以此推算WatchbogMiner新型变种已控制了超过8000台服务器进行恶意挖矿，应该引起重视。

建议国内重要单位、企业以及相关云服务提供商采取以下措施予以防范：一是对服务器资源占用情况进行排查，发现已感染服务器尽快进行隔离，关闭所有网络连接，禁用网卡；二是为Redis服务添加强密码验证，切勿使用弱口令，同时设置IP白名单只允许信任的IP访问控制台并添加访问认证；三是关注Apache Flink官网，及时获取该漏洞最新补丁；四是定期对服务器进行加固和备份，尽早修复服务器相关组件的安全漏洞，并及时进行软件升级。