Cyber-Kriminelle angreifbar Jira und Exim-Server, um sie mit der neuen Version von Linux-Trojan Watchbog und Monero Kryptowährung Bergbau zu infizieren.
Watchbog ist eine bösartige Software zu infizieren Linux-basierten Servern durch den Betrieb verwundbar Software, wie Jenkins, Nexus Repository Manager 3, ThinkPHP oder Linux Supervisord.Laut einem Forscher aus Intezer Labs, die neueste Version der Malware Abenteuer die neu Vorlage Injection-Schwachstelle entdeckt (Vorlage Injektion) Im Jira (CVE-2.019-11.581), das ermöglicht eine Ferncode ausführt.
Die Malware nutzt auch eine RCE Verletzlichkeit in Exim (CVE-2.019-10.149), was ermöglicht es Angreifern, Ausführen von Befehlen mit Root-Rechten.
Laut Shodan Suche, gibt es derzeit mehr als 1,610,000 verwundbar Exim-Server im Netzwerk, sowie über 54,000 verwundbar Atlassian JIRA-Server.
„Die Tatsache, dass die Jira CVE-2019-11581 Vorlage Injection-Schwachstelle diese Angreifer zielen wurde gerade öffentlich bekannt 12 Vor Tagen steht als Beweis für die Geschwindigkeit, mit der Bedrohung Akteure „beginnen, neue Sicherheitslücken zu missbrauchen, - daraus schließen Bleepingcomputer Journalisten.
Nachdem die Schwachstellen ausgenutzt, Watchbog lädt einen Krypto-miner Monero Währung zu extrahieren und unternimmt Schritte, seine Präsenz auf dem System zu erhalten. Im Speziellen, es fügt sich mehrere crontab-Dateien, das System zu infizieren, wenn der Benutzer eine dieser Dateien löscht.
Heraus Währung wird gesendet:
47k2wdnyyBoMT6N9ho5Y7uQg1J6gPsTboKP6JXfB5msf3jUUvTfEceK5U7KLnWir5VZPKgUVxpkXnJLmijau3VZ8D2zsyL7
Während der Kampagne, Angreifer schaffte es 53 xmr (CA $4503).
Eines der charakteristischen Merkmale dieser Kampagne ist, dass die Malware eine Nachricht an seine Opfer verlässt, wonach das Motiv der Eindringling ist „Sicherheit im Internet“.
Was kann es sehr gefährlich macht, ist, dass diese Variante nicht durch eine der Scan-Engines auf Virustotal erkannt wird.
Aber, nach den Operatoren Watchbog, die Malware ist nur für Bergbau Kryptowährung, und sie haben nicht die Absicht, die Daten auf den Servern gespeichert zu ändern oder eine Lösegeldforderung.