En ny ondsindet angreb mod Jira og Exim servere er blevet lanceret. Formålet med angrebet er at inficere de målrettede servere med den såkaldte Watchbog Linux Trojan. Inficerede værter bliver en del af et botnet der udvinder for Monero cryptocurrency.
Mere om Watchbog Linux Trojan
Den Watchbog malware kampagne er målrettet mod Linux-servere og udnytter sårbare software som Jenkins, Nexus Repository manager 3, ThinkPHP, og Linux Supervisord. Den ondsindede kampagne er også udnytte Exim og Jira sårbarheder, såsom CVE-2019-10.149.
Sidstnævnte er en kritisk sikkerhedsbrist i den Exim mail transfer agent (MTA) software. Fejlen ligger i Exim versioner 4.87 til 4.91 inkluderet, og beskrives som ukorrekt validering af modtageradressen i deliver_message() funktion i /src/deliver.c som kan medføre ekstern kommando udførelse. Fejlen giver angribere at udføre kommandoer som root.
I det mindste 1,610,000 Exim servere sårbare over for angreb
En Shodan søgning viser, at der er mindst 1,610,000 sårbare Exim servere, der er truet af dette angreb. Desuden, i alt 54,000 Atlassian Jira servere er også sårbare, som angivet ved BinaryEdge data.
Den Watchdog angreb kan være ganske katastrofalt, da den nuværende variant registreres af kun 2 Af alle VirusTotal motorer.
Det endelige mål for angrebet er at droppe en Monero krypto minearbejder. Den malware får også vedholdenhed på inficerede værter dermed bliver meget vanskeligt at fjerne. Når de sårbare servere er overtrådt, Watchdog malware vil indlede Monero cryptocurrency minearbejder nyttelast.
Denne variant af Watchbog også bruge minexmr.com minedrift pulje, som gjorde sine tidligere versioner.
Hvad er mest bemærkelsesværdige ved denne version af malware er, at det skadeligt script den bruger til at droppe krypto minearbejder på kompromitterede Linux-servere indeholder også en kontakt notat. Dette er, hvad konstateres følgende:
#Dette er den gamle-genopbygge Lady job kopi
#
#Mål:
# Målet med denne kampagne er som følger;
# – For at holde internettet sikkert.
# – For at holde dem hackere i at forårsage alvorlige skader på organisationer.
# – Vi ved, at du føler Vi er en potentiel trussel, godt vi er ikke.
# – Vi ønsker at vise, hvordan bittesmå vulns kunne føre til samlede disaters.
# – Vi ved, at du føler, Vi er Hykler s, fordi vi minen. Tja, hvis vi ikke hvordan fanden vi skal nok fortælle jer at vi er i.
# – Venligst Vi bønfalder at evey én derude ikke sabotere denne kampagne (Vi ønsker at holde internettet sikkert).
# – Nogle gange du skal bryde reglerne for at gøre dem.
#
#Disclaimer:
#1) Vi har kun Wanna Mine.
#2) Vi ønsker ikke dine data, eller noget eller endda en løsesum.
#3) Venligst, hvis du finder denne kode, behøver ikke skrive om det.
#4) Vi gør din sikkerhed bedre ved at bryde det.
#
#Kontakt:
#1) Hvis din server få 's inficeret:
# – Vi vil give oprydning script.
# – Vi vil dele kilde til indrejse i dine servere og plaster (sikkert).
# – Venligst, hvis du kontakter, så send din angrebne server ip og tjenester dine køre på serveren.
# – lets talk jeff4r-partner[@]tutanota.com eller jeff4r-partner[@]protonmail.com
#2) Hvis du ønsker at blive partner med os ?.
# – Nå ikke noget at sige.
#
#Note:
#1) Vi har ikke adgang til Jeff4r190[@]tutanota.com længere.