国家计算机病毒应急处理中心通过对互联网的监测，发现攻击者可以利用漏洞（漏洞编号：CVE-2018-1000861）在系统安装Watchbog恶意软件，Watchbog为攻击者挖掘Monero加密货币。Watchbog恶意软件安装时会会检查与其他加密货币挖掘者匹配的正在运行的进程。如果系统先前已配置为挖掘加密货币，则安装脚本将使用kill命令终止其执行，该脚本使用touch命令确定其写入文件系统上各个目录的能力。它还检查系统的体系结构，以确定它是在32位还是64位操作系统上执行，然后尝试三次尝试使用wget或curl 下载并安装“kerberods”下载器。该脚本还会检索包含Monero钱包ID和挖掘信息的Pastebin URL的内容。“kerberods”还可以从GitHub下载并安装XMR-Stak Monero挖矿软件。Watchbog恶意软件使用SSH远程管理接口进行横向扩散。除了利用SSH进行横向移动之外，Watchbog还尝试利用Python脚本扫描主机子网上的开放Jenkins和Redis端口。如果脚本发现任何易受攻击的服务器，会尝试使用curl或wget命令从Pastebin检索有效的载荷并在目标上执行。该脚本以CVE-2018-1000861为目标，这是Staple Web框架中的漏洞，适用于处理HTTP请求的Jenkins 2.138.1或2.145版本。Watchbog恶意软件使用定时任务功能每小时获取被攻击服务器的新信息，还能从github上下载并安装加密货币挖掘器。

Watchbog恶意软件的主要攻击目标是存在CVE-2018-1000861漏洞攻击且未修补的Web应用程序，可以长期对受攻击的服务器进行访问并横向扩散。建议国内用户采取以下措施予以防范，一是及时修复系统存在的漏洞；二是内部使用服务不应暴露于互联网。使用适当的ACL或其他身份验证技术仅允许来自可信用户的访问；三是保持安全软件开启，并更新为最新版本。