JiraおよびEximサーバーに対する新しい悪意のある攻撃が開始されました. 攻撃の目的は、標的となるサーバーをいわゆるWatchbogLinuxトロイの木馬に感染させることです。. 感染したホストは、Monero暗号通貨をマイニングしているボットネットの一部になります.
WatchbogLinuxトロイの木馬についての詳細
WatchbogマルウェアキャンペーンはLinuxサーバーを標的にしており、Jenkinsなどの脆弱なソフトウェアを悪用しています, Nexusリポジトリマネージャー 3, ThinkPHP, およびLinux監視. 悪意のあるキャンペーンは、EximとJiraの脆弱性も利用しています, CVE-2019-10149など.
後者は、Eximメール転送エージェントの重大なセキュリティの脆弱性です (MTA) ソフトウェア. 欠陥はEximバージョンにあります 4.87 に 4.91 含まれています, また、deliver_messageで受信者アドレスの不適切な検証として説明されています() /src/deliver.c内の関数で、リモートコマンドの実行につながる可能性があります. この欠陥により、攻撃者はrootとしてコマンドを実行できます.
少なくとも 1,610,000 攻撃に対して脆弱なEximサーバー
Shodanの検索では、少なくとも 1,610,000 この攻撃によって危険にさらされている脆弱なEximサーバー. 加えて, の合計 54,000 AtlassianJiraサーバーも脆弱です, BinaryEdgeデータで示されるように.
現在のバリアントはによってのみ検出されるため、ウォッチドッグ攻撃は非常に壊滅的なものになる可能性があります 2 全部の VirusTotalエンジン.
攻撃の最終目標は、Moneroクリプトマイナーをドロップすることです. マルウェアは感染したホストでも持続するため、削除が非常に困難になります. 脆弱なサーバーが侵害されたら, WatchdogマルウェアはMonero暗号通貨マイナーペイロードを開始します.
Watchbogのこのバリアントは、minexmr.comマイニングプールも使用しています, 以前のバージョンと同じように.
このバージョンのマルウェアで最も注目に値するのは、侵害されたLinuxサーバーに暗号マイナーをドロップするために使用する悪意のあるスクリプトにも連絡先が含まれていることです。. これはメモが述べていることです:
#これはOld-ReBuildLadyのジョブコピーです
#
#ゴール:
# このキャンペーンの目的は次のとおりです;
# – インターネットを安全に保つため.
# – ハッカーが組織に実際の損害を与えないようにするため.
# – 私たちはあなたが私たちが潜在的な脅威であると感じていることを知っています, まあ私たちはそうではありません.
# – 小さな脆弱性がどのように完全な災害につながる可能性があるかを示したい.
# – 私たちはあなたが私たちが偽善者だと感じていることを知っています, 私たちが採掘するから. さて、私たちがどのように地獄にいるのかをあなたに知らせないのなら.
# – このキャンペーンを妨害しないでください。 (インターネットを安全に保ちたい).
# – 時々あなたはそれらを作るために規則を破らなければなりません.
#
#免責事項:
#1) 私たちだけが欲しい.
#2) 私たちはあなたのデータを望んでいません, または何かまたは身代金さえ.
#3) このコードを見つけたらお願いします, それについて投稿しないでください.
#4) 私たちはそれを破ることによってあなたのセキュリティをより良くします.
#
#コンタクト:
#1) サーバーが感染した場合:
# – クリーンアップスクリプトを提供します.
# – サーバーとパッチへのエントリのソースを共有します (もちろん).
# – お問い合わせの場合はお願いします, 影響を受けるサーバーのIPとサーバーで実行するサービスを送信してください.
# – jeff4r-partnerについて話しましょう[@]tutanota.comまたはjeff4r-partner[@]Protonmail.com
#2) あなたが私たちと提携したい場合 ?.
# – まあ何も言うことはありません.
#
#ノート:
#1) Jeff4r190にアクセスできません[@]tutanota.comはもう.