Blog

Hujumchilar Moneroni qazib olish uchun buzilgan serverlardan foydalanadilar.

Kiberjinoyatchilar zaif Jira va Exim serverlarini ularga Linux Watchbog troyanining yangi versiyasini yuqtirish va Monero kriptovalyutasini qazib olish maqsadida nishonga olishmoqda. Watchbog – bu Jenkins, Nexus Repository Manager 3, ThinkPHP yoki Linux Supervisord kabi zaif dasturlardan foydalanish orqali Linux serverlariga zarar etkazish uchun mo’ljallangan zararli dastur.

Intezer Labs tadqiqotchisining so‘zlariga ko‘ra, zararli dasturning so‘nggi versiyasi Jira’da (CVE-2019-11581) yaqinda aniqlangan shablonni kiritish zaifligidan foydalanadi, bu esa kodni masofadan turib bajarish imkonini beradi. Zararli dastur, shuningdek, Exim’dagi (CVE-2019-10149) RCE zaifligidan foydalanadi, bu tajovuzkorlarga superuser imtiyozlari bilan buyruqlarni bajarish imkonini beradi.

Shodan qidiruviga ko’ra, hozirda onlaynda 1,610,000 dan ortiq zaif Exim serverlari, shuningdek, 54,000 dan ortiq zaif Atlassian JIRA serverlari mavjud.

Zaifliklardan foydalangan holda, Watchbog Monero valyutasini qazib olish uchun serverlarga kriptominerni yuklaydi, shuningdek, tizimda uning mavjudligini saqlab qolish choralarini ko’radi, xususan, agar foydalanuvchi ushbu fayllardan birini o’chirib tashlasa, tizimni qayta yuqtirish uchun o’zini bir nechta crontab fayllariga qo’shadi.

Qazib olingan valyuta 47k2wdnyyBoMT6N9ho5Y7uQg1J6gPsTboKP6JXfB5msf3jUUvTfEceK5U7KLnWir5VZPKgUVxpkXnJLmijau3VZ8D2zsyL7 manziliga yuborildi. Kampaniya davomida hujumchilar 53 XMR (taxminan 4503 dollar) minalashga muvaffaq bo’lishdi.

Ushbu kampaniyaning ajralib turadigan xususiyatlaridan biri shundaki, zararli dastur o’z qurbonlariga xabar qoldiradi, unga ko’ra tajovuzkorlarning maqsadi «internet xavfsizligi». Watchbog operatorlarining fikricha, zararli dastur faqat kriptovalyuta qazib olish uchun mo‘ljallangan va ular serverlarda saqlangan ma’lumotlarni o‘zgartirish yoki to‘lov talab qilish niyatida emas.