Un nuovo attacco maligno contro i server Jira e Exim è stato lanciato. Lo scopo dell'attacco è quello di infettare i server mirati con il cosiddetto Watchbog Linux Trojan. host infetti diventano parte di una botnet che è di data mining per Monero criptovaluta.
Di più su Watchbog Linux Trojan
La campagna di malware Watchbog è mirata contro i server Linux e sta sfruttando il software vulnerabili, come Jenkins, Nexus Repository Manager 3, ThinkPHP, e Linux Supervisord. La campagna è anche dannoso sfruttando Exim e Jira vulnerabilità, come CVE-2.019-10.149.
Quest'ultimo è una vulnerabilità di sicurezza critico nella mail transfer agent Exim (MTA) software. Il difetto si trova nelle versioni Exim 4.87 a 4.91 incluso, ed è descritto come convalida errata di indirizzo del destinatario in deliver_message() funzione /src/deliver.c che potrebbe provocare l'esecuzione di comandi remoti. Il difetto permette aggressori di eseguire comandi come root.
Almeno 1,610,000 server Exim vulnerabile all'attacco
Una ricerca Shodan indica che ci sono almeno 1,610,000 server Exim vulnerabili che vengono messe in pericolo da questo attacco. In aggiunta, un totale di 54,000 server Atlassian Jira sono anche vulnerabili, come indicato dai dati BinaryEdge.
L'attacco watchdog può essere abbastanza catastrofica come la variante corrente è rilevata da solo 2 di tutti motori VirusTotal.
L'obiettivo finale dell'attacco è far cadere un minatore cripto Monero. Il malware guadagna anche la persistenza su host infetti divenendo così molto difficile da rimuovere. Una volta che i server vulnerabili sono aperti un varco, il malware Watchdog avvierà la Monero criptovaluta minatore payload.
Questa variante di Watchbog utilizza anche la piscina mineraria minexmr.com, come hanno fatto le sue versioni precedenti.
Ciò che è in gran parte notevole di questa versione del malware è che lo script dannoso che utilizza per far cadere il minatore crypto su server Linux compromessi comprende anche una nota di contatto. Questo è ciò che si legge nella nota:
#Questo è il Vecchio ricostruire lavoro di copia Lady
#
#Obbiettivo:
# L'obiettivo di questa campagna è la seguente;
# – Per mantenere la sicurezza Internet.
# – Per tenerli hacker di causare danni reali alle organizzazioni.
# – Sappiamo che si sente Siamo una potenziale minaccia, Noi non è ben.
# – Vogliamo mostrare come vulns piccolo potrebbe portare ad eventi calamitosi totale.
# – Sappiamo che sentiamo Ipocrita di, perché noi estraiamo. Beh, se non come diavolo facciamo a farvi sapere che siamo in.
# – Si prega di Supplichiamo a Evey uno là fuori non sabotare questa campagna (Vogliamo mantenere la cassaforte internet).
# – A volte devi rompere le regole per renderle.
#
#Disclaimer:
#1) Abbiamo solo Wanna miniera.
#2) Non vogliamo i vostri dati, o qualsiasi cosa o anche un riscatto.
#3) Per favore, se si trova questo codice, non postare su di esso.
#4) Facciamo la sicurezza migliore per romperlo.
#
#contatto:
#1) Se il vostro server di get infetto:
# – Forniremo lo script di pulizia.
# – Condivideremo fonte di entrata in server e di patch (certamente).
# – Per favore, se si contattando, si prega di inviare IP e servizi della vostra del server interessato eseguire sul server.
# – consente di parlare jeff4r-Partner[@]tutanota.com o jeff4r-socio[@]protonmail.com
#2) Se volete collaborare con noi ?.
# – Beh niente da dire.
#
#Nota:
#1) Non abbiamo accesso ai Jeff4r190[@]tutanota.com più.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: