Um novo ataque malicioso contra servidores Jira e Exim foi lançado. O objetivo do ataque é infectar os servidores de destino com o chamado Watchbog Linux Trojan. Os hosts infectados tornam-se parte de um botnet que está explorando a criptomoeda Monero.
Mais sobre o Trojan Watchbog Linux
A campanha de malware Watchbog é direcionada contra servidores Linux e está explorando softwares vulneráveis, como Jenkins, Nexus Repository Manager 3, ThinkPHP, e Linux Supervisord. A campanha maliciosa também está aproveitando as vulnerabilidades Exim e Jira, como CVE-2019-10149.
O último é uma vulnerabilidade crítica de segurança no agente de transferência de correio Exim (MTA) Programas. A falha está localizada nas versões Exim 4.87 para 4.91 incluído, e é descrito como validação inadequada do endereço do destinatário em delivery_message() função em /src/deliver.c que pode levar à execução de comando remoto. A falha permite que os invasores executem comandos como root.
Finalmente 1,610,000 Servidores Exim vulneráveis ao ataque
Uma pesquisa Shodan indica que há pelo menos 1,610,000 servidores Exim vulneráveis que estão ameaçados por este ataque. além do que, além do mais, um total de 54,000 Os servidores Atlassian Jira também são vulneráveis, conforme indicado pelos dados BinaryEdge.
O ataque Watchdog pode ser bastante catastrófico, pois a variante atual é detectada apenas por 2 de tudo Mecanismos VirusTotal.
O objetivo final do ataque é derrubar um minerador de criptografia Monero. O malware também ganha persistência em hosts infectados, tornando-se muito difícil de remover. Uma vez que os servidores vulneráveis são violados, o malware Watchdog iniciará a carga útil do minerador de criptomoeda Monero.
Esta variante do Watchbog também está usando o pool de mineração minexmr.com, assim como suas versões anteriores.
O que é mais notável sobre esta versão do malware é que o script malicioso que usa para soltar o crypto miner em servidores Linux comprometidos também inclui uma nota de contato. Isso é o que a nota afirma:
#Esta é a cópia do trabalho Old-ReBuild Lady
#
#Objetivo:
# O objetivo desta campanha é o seguinte;
# – Para manter a internet segura.
# – Para evitar que os hackers causem danos reais às organizações.
# – Nós sabemos que você sente que somos uma ameaça potencial, bem, nós não somos.
# – Queremos mostrar como pequenos vulns podem levar a doenças totais.
# – Nós sabemos que você sente que somos do Hypocrite, porque nós meus. Bem, se não formos, como diabos vamos deixar você saber que estamos dentro.
# – Por favor, imploramos a todos, não sabote esta campanha (Queremos manter a internet segura).
# – Às vezes você tem que quebrar as regras para torná-los.
#
#aviso Legal:
#1) Nós só queremos o meu.
#2) Não queremos seus dados, ou qualquer coisa ou mesmo um resgate.
#3) Por favor, se você encontrar este código, não poste sobre isso.
#4) Tornamos a sua segurança melhor ao quebrá-la.
#
#Contato:
#1) Se o seu servidor for infectado:
# – Forneceremos um script de limpeza.
# – Vamos compartilhar a fonte de entrada em seus servidores e patch (certamente).
# – Por favor, se você entrar em contato, envie o ip do servidor afetado e os serviços executados no servidor.
# – vamos conversar jeff4r-parceiro[@]tutanota.com ou jeff4r-partner[@]protonmail.com
#2) Se você quer ser nosso parceiro ?.
# – Bem, nada a dizer.
#
#Nota:
#1) Não temos acesso a Jeff4r190[@]mais tutanota.com.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: