Een nieuwe kwaadaardige aanval tegen Jira en Exim servers is gelanceerd. Het doel van de aanval is om het beoogde servers te infecteren met de zogenaamde Watchbog Linux Trojan. Geïnfecteerde gastheren worden onderdeel van een botnet dat mijnbouw voor Monero cryptogeld.
Meer over Watchbog Linux Trojan
De Watchbog malware campagne is gericht tegen Linux-servers en exploiteert kwetsbare software zoals Jenkins, Nexus Repository Manager 3, ThinkPHP, en Linux Supervisord. De kwaadaardige campagne wordt ook gebruik te maken van Exim en Jira kwetsbaarheden, zoals CVE-2019-10149.
Dit laatste is een kritisch beveiligingsprobleem in de Exim mail transfer agent (MTA) software. De fout ligt in Exim versies 4.87 aan 4.91 inclusief, en wordt beschreven als een onjuiste validatie van adres van de ontvanger in deliver_message() functie /src/deliver.c wat kan leiden tot externe uitvoering commando. De fout maakt aanvallers om commando's als root uit te voeren.
Minstens 1,610,000 Exim servers kwetsbaar voor de aanval
Een Shodan zoekopdracht geeft aan dat er op zijn minst 1,610,000 kwetsbaar Exim servers die worden bedreigd door deze aanval. Bovendien, een totaal van 54,000 Atlassian Jira servers zijn ook kwetsbaar, zoals aangegeven door data BinaryEdge.
De Watchdog aanval kan heel katastrofisch zijn als de huidige variant wordt gedetecteerd door slechts 2 van alle VirusTotal motoren.
Het uiteindelijke doel van de aanval is om een Monero crypto mijnwerker dalen. De malware ook wint persistentie op geïnfecteerde hosts waardoor zij zeer moeilijk te verwijderen. Zodra de kwetsbare servers worden overtreden, de Watchdog malware zal de Monero cryptogeld mijnwerker payload initiëren.
Deze variant van Watchbog maakt ook gebruik van de minexmr.com mijnbouw pool, net als de vorige versies.
Wat is vooral opmerkelijk over deze versie van de malware is dat de kwaadaardige script zij gebruikt om de crypto mijnwerker laten vallen op gecompromitteerde Linux servers bevat ook een contact noot. Dit is wat de nota staat:
#Dit is de oude-rebuild Lady job kopie
#
#Doel:
# Het doel van deze campagne is als volgt;
# – Om het internet veilig te houden.
# – Om ze hackers te houden van het veroorzaken van echte schade aan organisaties.
# – We weten dat je het gevoel dat we een potentiële bedreiging, goed we niet.
# – We willen laten zien hoe klein vulns zou kunnen leiden tot totale disaters.
# – We weten dat je het gevoel dat we huichelaar, omdat we de mijne. Nou als we niet hoe we in godsnaam ga u laten weten dat we in.
# – Gelieve We pleiten voor een evey daar niet deze campagne te saboteren (We willen het internet veilig te houden).
# – Soms moet je de regels overtreden om ze te maken.
#
#Ontkenning:
#1) We alleen Wanna Mine.
#2) We willen niet dat uw gegevens, of iets of zelfs een losgeld.
#3) Kunt u als u deze code te vinden, niet plaatsen over.
#4) Wij maken uw beveiliging beter te maken door te breken.
#
#Contact:
#1) Als uw server get's besmette:
# – We zullen cleanup script bieden.
# – We zullen bron van binnenkomst te delen in uw servers en patch (zeker).
# – Kunt u als u contact opneemt, stuur ip en diensten uw aangedane server draaien op de server.
# – laten we praten jeff4r-partner[@]tutanota.com of jeff4r-partner[@]protonmail.com
#2) Als u wilt om samen met ons ?.
# – Nou niets te zeggen.
#
#Aantekening:
#1) We hebben geen toegang tot Jeff4r190 hebben[@]tutanota.com meer.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: