Ein neuer bösartiger Angriff gegen Jira und Exim-Server wurde ins Leben gerufen. Der Zweck des Angriffs ist es, die gezielt Server mit dem sogenannten Watchbog Linux Trojan zu infizieren. Infizierte Rechner Teil eines Botnetzes geworden, die für Monero Kryptowährung ist Bergbau.
Mehr über Watchbog Linux Trojan
Die Watchbog Malware-Kampagne gegen Linux-Servern gezielt und ist anfällig Software wie Jenkins Ausnutzen, Nexus Repository Manager 3, ThinkPHP, und Linux Supervisord. Die bösartige Kampagne nutzt auch Exim und Jira Anfälligkeiten, wie CVE-2.019-10.149.
Letzteres ist eine kritische Sicherheitslücke in der Exim Mail Transfer Agent (MTA) Software. Der Fehler ist in Exim Versionen befinden 4.87 zu 4.91 inbegriffen, und wird als fehlerhafte Überprüfung der Empfängeradresse in deliver_message beschrieben() Funktion in /src/deliver.c, der Remote-Befehlsausführung führen könnte. Der Fehler ermöglicht es Angreifern Befehle als root ausführen.
Mindestens 1,610,000 Exim-Server anfällig für den Angriff
Eine Shodan Suche zeigt, dass es zumindest 1,610,000 verwundbar Exim-Server, die durch diesen Angriff gefährdet. Außerdem, insgesamt 54,000 Atlassian Jira-Server sind auch anfällig, wie durch BinaryEdge Daten zeigten.
Der Watchdog-Angriff kann ziemlich katastrophal sein als die aktuelle Variante von nur erkannt wird 2 von allen Virustotal Motoren.
Das Endziel des Angriffs ist es, einen Monero Kryptobergmann fällt. Die Malware gewinnt auch Persistenz auf infizierte Rechner daher sehr schwierig, immer zu entfernen. Sobald die gefährdeten Server verletzt, die Watchdog Malware die Monero Kryptowährung Miner Nutzlast initiiert.
Diese Variante von Watchbog wird auch mit dem minexmr.com Bergbau Pool, ebenso wie seine früheren Versionen.
Was ist vor allem bemerkenswert über diese Version der Malware ist, dass das schädliche Skript des Krypto-Bergmann auf kompromittierten Linux-Server auch eine Notiz Kontakt enthält fallen verwendet. Dies ist, was die Noten Staaten:
#Dies ist die Old-rebuild Lady Job Kopie
#
#Tor:
# Das Ziel dieser Kampagne ist wie folgt;
# – Damit das Internet sicher.
# – Damit sie Hacker verursachen wirklichen Schaden an Organisationen.
# – Wir wissen, dass Sie das Gefühl, wir sind eine potentielle Bedrohung, Wir sind nicht gut.
# – Wir wollen zeigen, wie winzig vulns zu insgesamt disaters führen könnte.
# – Wir wissen, dass Sie das Gefühl, wir Heuchler sind die, weil wir schürfen. Nun, wenn wir nicht, wie zum Teufel wir jetzt lassen Sie wissen, wir sind in.
# – Bitte Wir plädieren man evey da draußen nicht, diese Kampagne sabotieren (Wir wollen das Internet sicher halten).
# – Manchmal muss man die Regeln brechen, um sie.
#
#Haftungsausschluss:
#1) We Wanna-Mine nur.
#2) Wir wollen nicht Ihre Daten, oder irgendetwas oder sogar ein Lösegeld.
#3) Bitte, wenn Sie diesen Code finden, poste nicht darüber.
#4) Wir machen Ihre Sicherheit besser, indem sie es brechen.
#
#Kontakt:
#1) Wenn Ihr Server get infizierten:
# – Wir werden Cleanup-Skript zur Verfügung stellen.
# – Wir werden Quelle des Eintrags in Ihren Server und Patch teilen (sicherlich).
# – Bitte, wenn Sie in Kontakt, bitte Ihre betroffene Server die IP-Dienste und Ihre laufen auf dem Server senden.
# – lets talk jeff4r-Partner[@]tutanota.com oder jeff4r-Partner[@]protonmail.com
#2) Wenn Sie bei uns Partner wollen ?.
# – Nun, nichts zu sagen.
#
#Notiz:
#1) Wir haben keinen Zugriff auf Jeff4r190[@]tutanota.com mehr.