Cybercriminelen vallen kwetsbaar Jira en Exim servers om ze te infecteren met de nieuwe versie van de Linux-Trojan Watchbog en Monero cryptogeld mijnbouw.
Watchbog is een kwaadaardige software voor het infecteren van Linux-gebaseerde servers door het bedienen van kwetsbare software, zoals Jenkins, Nexus Repository Manager 3, ThinkPHP of Linux Supervisord.Volgens een onderzoeker van Intezer Labs, de laatste versie van de malware exploits de nieuw ontdekte template kwetsbaarheid injectie (sjabloon injectie) In Jira (CVE-2019-11.581), waardoor het uitvoeren van externe code.
De malware exploiteert ook een RCE kwetsbaarheid in Exim (CVE-2019-10.149), waardoor aanvallers om commando's met root uitvoeren permissies.
Volgens de Shodan Zoeken, Er zijn momenteel meer dan 1,610,000 kwetsbaar Exim servers op het netwerk, evenals meer dan 54,000 kwetsbaar Atlassian JIRA servers.
“Het feit dat de Jira CVE-2019-11.581 template injectie van de kwetsbaarheid van deze aanvallers zijn gericht is openbaar net onthuld 12 dagen geleden staat als bewijs van de snelheid waarmee bedreiging acteurs beginnen om nieuwe beveiligingsfouten”misbruik, - concluderen BeginnersWeb journalisten.
Na gebruik gemaakt van de kwetsbaarheden, Watchbog uploadt een crypto-mijnwerker om Monero valuta halen en neemt maatregelen om zijn aanwezigheid te handhaven op het systeem. Met name, het voegt zich naar verschillende crontabbestanden om het systeem te infecteren als de gebruiker verwijdert u één van deze bestanden.
Geëxtraheerd valuta wordt verzonden naar:
47k2wdnyyBoMT6N9ho5Y7uQg1J6gPsTboKP6JXfB5msf3jUUvTfEceK5U7KLnWir5VZPKgUVxpkXnJLmijau3VZ8D2zsyL7
Tijdens de campagne, aanvallers erin geslaagd om 53 XMR (ongeveer $4503).
Een van de onderscheidende kenmerken van deze campagne is dat de malware laat een boodschap aan de slachtoffers, volgens welke het motief van de indringers is “Internet security”.
Wat maakt het zeer gevaarlijk is dat deze variant niet door een van de scanengines op VirusTotal wordt gedetecteerd.
Maar, volgens de Watchbog operators, de malware is alleen bedoeld voor de mijnbouw cryptogeld, en ze hebben niet de intentie om de gegevens die zijn opgeslagen op de servers te wijzigen of eisen een losgeld.
