Los ciberdelincuentes atacan a los servidores de Jira y Exim vulnerables con el fin de infectarlos con la nueva versión de Linux-Trojan Watchbog y Monero minera criptomoneda.
Watchbog es un software malicioso para infectar los servidores basados en Linux por el software que opera vulnerables, tales como Jenkins, Nexus Repository Manager 3, ThinkPHP o Linux Supervisord.De acuerdo con un investigador de laboratorios Intezer, la última versión del malware exploits la vulnerabilidad de inyección plantilla recién descubierto (inyección de plantilla) En jira (CVE-2019 a 11581), que permite la ejecución remota de código.
El malware también se aprovecha de una RCE vulnerabilidad en Exim (CVE-desde 2.019 hasta 10.149), lo que permite a los atacantes ejecutar comandos con privilegios de root.
De acuerdo con la Shodan Buscar, en la actualidad hay más de 1,610,000 Exim servidores vulnerables en la red, así como más de 54,000 Atlassian JIRA servidores vulnerables.
“El hecho de que la vulnerabilidad de inyección plantilla Jira-2019-11581 CVE estos atacantes se dirigen se ha revelado públicamente justo 12 Hace días se erige como una prueba a la velocidad a la que los agentes de amenaza están empezando a abusar de nuevos fallos de seguridad”, - concluir periodistas Bleepingcomputer.
Después de haber explotado las vulnerabilidades, Watchbog carga un cripto-minero para extraer Monero moneda y toma medidas para mantener su presencia en el sistema de. En particular, que se suma a varios archivos crontab para reinfectar el sistema si el usuario elimina uno de estos archivos.
la moneda extraída se envía a:
47k2wdnyyBoMT6N9ho5Y7uQg1J6gPsTboKP6JXfB5msf3jUUvTfEceK5U7KLnWir5VZPKgUVxpkXnJLmijau3VZ8D2zsyL7
Durante la campaña, atacantes lograron 53 xmr (aproximadamente $4503).
Una de las características distintivas de esta campaña es que el malware se deja un mensaje a sus víctimas, según la cual el motivo de los intrusos es “la seguridad en Internet”.
Lo que lo hace altamente peligroso es que esta variante no es detectado por cualquiera de los motores de análisis en VirusTotal.
Pero, de acuerdo con los operadores Watchbog, el malware está destinado sólo para la minería criptomoneda, y no tienen ninguna intención de modificar los datos almacenados en los servidores o exigir un rescate.