Nettkriminelle angripe sårbare Jira og Exim servere for å infisere dem med den nye versjonen av Linux-Trojan Watchbog og Monero kryptovaluta gruvedrift.
Watchbog er et ondsinnet programvare for å infisere Linux-baserte servere ved å operere sårbar programvare, slik som Jenkins, Nexus Repository leder 3, ThinkPHP eller Linux Supervisord.Ifølge en forsker fra Intezer Labs, den nyeste versjonen av malware Utnytter sårbar nyoppdagede mal injeksjon (mal injeksjon) I Jira (CVE-2019-11581), som gjør det mulig å utføre fjernkoden.
Den ondsinnet programvare utnytter også en RCE sårbarhet i Exim (CVE-2019-10149), noe som gjør at hackere å utføre kommandoer med root rettigheter.
Ifølge Shodan Søke, er det i dag mer enn 1,610,000 sårbare Exim servere i nettverket, så vel som over 54,000 sårbare Atlassian JIRA servere.
“Det faktum at malen sårbarhet injeksjon av Jira-2019-11581 CVE disse angriperne er målgruppe er offentliggjort bare 12 dager siden står som bevis på hastigheten som trusselaktører har begynt å misbruke nye sikkerhetshull”, - konkludere Bleepingcomputer journalister.
Etter å ha utnyttet sårbarheter, Watchbog laster opp et krypto-miner å ekstrahere Monero valuta og tar forholdsregler for å opprettholde sin tilstedeværelse i systemet. Spesielt, det legger seg til flere crontab filer til reinfect systemet om brukeren sletter en av disse filene.
Ekstrahert valuta er sendt til:
47k2wdnyyBoMT6N9ho5Y7uQg1J6gPsTboKP6JXfB5msf3jUUvTfEceK5U7KLnWir5VZPKgUVxpkXnJLmijau3VZ8D2zsyL7
Under kampanjen, angripere klarte å få 53 XMR (omtrent $4503).
En av de karakteristiske trekk ved denne kampanjen er at malware legger igjen en beskjed til sine ofre, i henhold til hvilke motiv av inntrengerne er “Internet Security”.
Hva gjør det svært farlig, er at denne varianten ikke blir oppdaget av noen av de skanning motorer på Virustotal.
Men, i henhold til de Watchbog operatørene, malware er kun ment for gruvedrift kryptovaluta, og de har ingen hensikt å modifisere de data som er lagret på servere eller kreve løse.
