Злоумышленники используют скомпрометированные серверы для майнинга Monero.
Киберпреступники атакуют уязвимые серверы Jira и Exim с целью заражения их новой версией Linux-трояна Watchbog и майнинга криптовалюты Monero. Watchbog представляет собой вредоносное ПО для заражения серверов на базе Linux путем эксплуатации уязвимого программного обеспечения, например, Jenkins, Nexus Repository Manager 3, ThinkPHP или Linux Supervisord.
По словам исследователя из Intezer Labs, новейшая версия вредоноса эксплуатирует недавно обнаруженную уязвимость внедрения шаблона (template injection) в Jira (CVE-2019-11581), которая позволяет выполнять удаленный код. Также вредонос задействует RCE-уязвимость в Exim (CVE-2019-10149), позволяющую злоумышленникам выполнять команды с правами суперпользователя.
Согласно поиску Shodan, на данный момент в сети насчитывается более 1 610 000 уязвимых серверов Exim, а также более 54 000 уязвимых серверов Atlassian JIRA.
Проэксплуатировав уязвимости, Watchbog загружает на серверы криптомайнер для добычи валюты Monero, а также предпринимает меры для сохранения присутствия на системе, в частности добавляет себя в несколько файлов crontab для повторного инфицирования системы в случае, если пользователь удалит один из этих файлов.
Добытая валюта отправлялась на адрес 47k2wdnyyBoMT6N9ho5Y7uQg1J6gPsTboKP6JXfB5msf3jUUvTfEceK5U7KLnWir5VZPKgUVxpkXnJLmijau3VZ8D2zsyL7. За время кампании злоумышленникам удалось добыть 53 XMR (примерно $4503).
Одна из отличительных особенностей данной кампании заключается в том, что вредонос оставляет сообщение своим жертвам, согласно которому, мотивом злоумышленников является «безопасность интернета». По словам операторов Watchbog, вредонос предназначен только для майнинга криптовалюты, и у них нет намерений модифицировать хранящиеся на серверах данные или требовать выкуп.
