Un nuevo ataque malicioso contra los servidores de Jira y Exim se ha puesto en marcha. El objetivo del ataque es infectar los servidores de destino con el llamado Linux Troya Watchbog. los huéspedes infectados se convierten en parte de una botnet, que es la minería de Moneo criptomoneda.
Más sobre Watchbog Linux Troya
La campaña de malware Watchbog está dirigido contra servidores Linux y está explotando software vulnerable como Jenkins, Nexus Repository Manager 3, ThinkPHP, y Linux Supervisord. La campaña maliciosa también está aprovechando las vulnerabilidades de Exim y Jira, tales como CVE-2019-10.149.
Esta última es una vulnerabilidad de seguridad crítica en el agente de transferencia de correo Exim (MTA) software. El defecto se encuentra en las versiones Exim 4.87 a 4.91 incluido, y se describe como una validación incorrecta de dirección del destinatario en deliver_message() /src/deliver.c función en lo que podría provocar la ejecución remota de comandos. La falla permite a atacantes para ejecutar comandos como root.
Al menos 1,610,000 Exim servidores vulnerables al ataque
Una búsqueda Shodan indica que hay por lo menos 1,610,000 Exim servidores vulnerables que están en peligro por este ataque. Adicionalmente, un total de 54,000 Atlassian Jira servidores también son vulnerables, como se indica por los datos BinaryEdge.
El ataque del perro guardián puede ser bastante catastrófica como la variante actual es detectado por única 2 de todo Los motores de VirusTotal.
El objetivo final del ataque es dejar caer un minero cripto Monero. El malware también gana la persistencia en los hosts infectados convirtiéndose así en muy difíciles de eliminar. Una vez que los servidores vulnerables no se cumplen, el malware Watchdog iniciará la carga útil criptomoneda minero Monero.
Esta variante de Watchbog también está utilizando la piscina minera minexmr.com, al igual que sus versiones anteriores.
Lo que es notable sobre todo acerca de esta versión del software malicioso es que el script malicioso que utiliza para colocar el minero de cifrado en servidores Linux comprometidas también incluye una nota de contacto. Esto es lo que dice la nota:
#Este es el viejo Reconstruir-copia de trabajo Señora
#
#Gol:
# El objetivo de esta campaña es el siguiente;
# – Para mantener la seguridad de Internet.
# – Para evitar que los piratas informáticos de causar un daño real a las organizaciones.
# – Sabemos que se sienta Somos una amenaza potencial, Nosotros no es así.
# – Queremos mostrar cómo vulns pequeña podría conducir a disaters totales.
# – Sabemos que se sienta Estamos Hipócrita, porque extraemos. Pues si no lo hacemos, ¿cómo diablos vamos a hacerle saber que estamos en.
# – Por favor Suplicamos a evey uno por ahí no sabotear esta campaña (Queremos mantener el seguro de Internet).
# – A veces tienes que romper las reglas para que sean.
#
#Renuncia:
#1) Sólo mina Wanna.
#2) No queremos que sus datos, o cualquier cosa o incluso un rescate.
#3) Por favor, si usted encuentra este código, no escribir sobre esto.
#4) Hacemos mejor su seguridad rompiéndolo.
#
#Contacto:
#1) Si infectada de su servidor GET:
# – Vamos a proporcionar script de limpieza.
# – Vamos a compartir la fuente de entrada en sus servidores y parche (seguramente).
# – Por favor, si usted ponerse en contacto con, por favor enviar IP y servicios que su de su servidor afectado ejecutar en el servidor.
# – vamos a hablar jeff4r-pareja[@]tutanota.com o jeff4r-pareja[@]protonmail.com
#2) Si desea asociarse con nosotros ?.
# – Bueno nada que decir.
#
#Nota:
#1) No tenemos acceso a Jeff4r190[@]tutanota.com más.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: