ИБ-исследователь из Intezer Labs обнаружил новую версию трояна Watchbog, загружающего на Linux-серверы майнер Monero (XMR). Доставка зловреда осуществляется через уязвимости в ПО Atlassian Jira и почтовом агенте Exim. По данным поисковиков Shodan и BinaryEdge, угроза актуальна для 1,6 млн хостов. Проверка вредоноса на VirusTotal показала, что он плохо детектируется антивирусами.
Уязвимость CVE-2019-11581 в Jira Server и Jira Data Center позволяет внедрить вредоносный код в шаблон на стороне сервера, баг CVE-2019-10149 в Exim — выполнить любую команду с правами root. Ранее операторы Watchbog использовали уязвимости в Jenkins, Nexus Repository Manager 3, ThinkPHP и Linux Supervisord.
Основной задачей трояна, как и прежде, является загрузка и запуск криптомайнера. Для получения соответствующих команд он обращается к сайту Pastebin. Чтобы вернуться и продолжить работу в случае обнаружения и удаления, зловред добавляет себя в файлы Crontab.
Согласно конфигурационному файлу, для добычи криптовалюты злоумышленники используют майнинговый пул minexmrх[.]com — тот же адрес был указан и в прежних версиях Watchbog. С момента прошлой кампании, когда на кошельке мошенников было 13 XMR, им удалось заработать еще 53 XMR (примерно $4300 долларов на момент публикации).
Кроме новых векторов атаки эта версия Watchbog обладает еще одной особенностью: вредоносный скрипт, внедряющий майнер в скомпрометированную систему, содержит записку. В сообщении говорится о цели кампании — «сделать Интернет безопасным» — и содержится призыв не саботировать ее. По словам мошенников, они не собираются требовать выкуп за данные жертв, зараженные системы нужны им только для майнинга.
Эксплуатируемая трояном уязвимость в Exim была обнаружена исследователями из Qualys 5 июня. Аналитики отмечают, что этот почтовый агент используют больше половины email-сервисов в Интернете. Первые попытки массового применения бага начались 9-10 июня. Операторы Watchbog стали по меньшей мере третьей кибергруппировкой, эксплуатирующей эту проблему.
Источник: https://threatpost.ru/watchbog-trojan-attacks-linux-servers-via-jira-exim-exploits/33562/