Hackers κάνουν exploit σε ευάλωτους Jira και Exim servers, ώστε να τους μολύνουν με μια νέα παραλλαγή του Watchbog Linux Trojan.
Ο Watchbog είναι ένα malware που χρησιμοποιείται για να μολύνει Linux servers εκμεταλλευόμενος ευάλωτα λογισμικά. Αυτό σύμφωνα με ερευνητές security του Alibaba Cloud συνέβη με τον server Jenkins κατά τη διάρκεια μιας εκστρατείας του Μαΐου, καθώς και στους Nexus Repository Manager 3, ThinkPHP και Linux Supervisord ως μέρος μιας επιχείρησης από τον Μάρτιο.
Αυτή η νέα παραλλαγή εντοπίστηκε από έναν ερευνητή του Intezer Lab. Σύμφωνα με την αναφορά του λοιπόν, χρησιμοποιεί ένα κακόβουλο payload που αξιοποιεί την ευπάθεια με όνομα CVE-2019-11581, η οποία οδηγεί σε απομακρυσμένη εκτέλεση κώδικα. Ακόμα εκμεταλλεύεται το ελάττωμα του Exim με όνομα CVE-2019-10149.
Σύμφωνα με έρευνες που πραγματοποιήθηκαν από την Shodan και την BinaryEdge, για την ώρα υπάρχουν περισσότεροι από 1.610.000 ευάλωτοι Exim servers και 54.000 Jira servers, οι οποίοι θα μπορούσαν να επηρεαστούν από την επίθεση. Αυτό που το καθιστά εξαιρετικά επικίνδυνο είναι ότι αυτή η παραλλαγή δεν ανιχνεύεται από καμία από τις μηχανές σάρωσης στο VirusTotal.
Η διαδικασία που εκτελεί ο Watchbog είναι απλή.
- Εισάγει ένα malware coinminer της Monero που αποτρέπει τις προσπάθειες των χρηστών να το αφαιρέσουν.
- Στη συνέχεια, αφού καταλάβει τους servers θα κάνει download και θα εκτελέσει κακόβουλες εντολές που θα ξεκινήσουν το τελικό cryptocurrency miner payload.
- Το malware θα καταφέρει να προστεθεί σε αρχεία crontab, ώστε να μπορεί να επανέλθει και να μολύνει εκ νέου το σύστημα αν ο χρήστης δε βρει όλα τα αρχεία.
Υπάρχει ακόμη ένα γεγονός που κάνει τον Watchbog επικίνδυνο. Σε προηγούμενες εκδόσεις του malware, οι hackers προσέφεραν τις υπηρεσίες τους για να αφαιρέσουν τον ιό, με την υπόσχεση να στείλουν τα θύματά τους σε ένα “script καθαρισμού”. Το σημείωμα αυτής της παραλλαγής λέει ότι η αποστολή των hackers είναι “να κρατήσουν το internet ασφαλές”.
Επιπλέον υποστηρίζουν, ότι το malware θα κάνει μόνο mine στο cryptocurrency ευάλωτων servers και ότι ο σκοπός δεν είναι να παραβιαστούν άλλα αποθηκευμένα δεδομένα ή να ζητήσουν λύτρα.
