Ciberdelincuentes están explotando los servidores Linux de Jira
Los hackers están explotando los servidores vulnerables de Jira y Exim con el objetivo final de infectarlos con una nueva variante del troyano Watchbog Linux y utilizar la red de bots resultante como parte de una operación de minería para Monero.
Watchbog es una variedad de malware que se usa para infectar servidores de Linux mediante la explotación de software vulnerable como Jenkins durante una campaña lanzada en mayo, así como Nexus Repository Manager 3, ThinkPHP y Linux Supervisord, esto como parte de una operación de marzo descubierta por investigadores de Alibaba Cloud Security.
Vulnerabilidades dirigidas a Exim y Jira
La variante más nueva detectada por el investigador de Intezer Labs, polarply en VirusTotal, utiliza un payload diseñado para explotar la vulnerabilidad de inyección de plantillas de Jira, identificada como CVE-2019-11581 que lleva a la ejecución remota de código.
También están explotando falla de ejecución remota de comandos de Exim identificada como CVE-2019-10149, que permite a los atacantes ejecutar comandos como root después de la explotación: se sabe que esta falla de Exim se ha estado explotando en el entorno desde el 9 de junio como mínimo.
Según una búsqueda de Shodan a partir de hoy, hay más de 1,610,000 servidores Exim sin parches que podrían verse afectados por este ataque, así como más de 54,000 servidores JIRA de Atlassian vulnerables, según BinaryEdge.
Lo que lo hace altamente peligroso es que esta variante no es detectada por ninguno de los motores de escaneo en VirusTotal, ya que la muestra de Watchbog detectada por polarply tiene una tasa de detección de Antivirus de 0/55; hay más información disponible en Intezer Analyse.
Infectando servidores Linux
El proceso de infección de Watchbog es bastante sencillo, ya que comienza minar Monero después de explotar las vulnerabilidades a las que ataca, y gana persistencia para defenderse de los intentos de los usuarios de eliminarlo.
Después de obtener un punto de apoyo en los servidores vulnerables, Watchbog descargará y ejecutará comandos maliciosos de pastebin que eventualmente implementarán y lanzarán el payload final del minero de criptomonedas en los servidores de Linux comprometidos.
El malware también logra persistencia al agregarse a varios archivos crontab, para asegurarse de que pueda volver y afectar al sistema si el usuario no encuentra todos los crontab alterados.
Según el archivo de configuración de minería de criptomonedas, esta variante utiliza el pool de Minería minexmr.com, al igual que en las versiones anteriores de Watchbog y recoge todos los fondos para la dirección 47k2wdnyyBoMT6N9ho5Y7uQg1J6gPsTboKP6JXfB5msf3jUUvTfEceK5U7KLnWir5VZPKgUVxpkXnJLmijau3VZ8D2zsyL, que también se utilizó durante la campaña que se dirigió a los servidores Jenkins en mayo
Desde la campaña anterior, cuando la dirección contenía aproximadamente 13 XMR, los atacantes han extraído aproximadamente 53 XMR más, lo que equivale a alrededor de $4,503.
Hay una cosa más que hace que esta variante específica de Watchbog sea especial, además de no ser detectada en VirusTotal y el cambio de objetivos a los servidores Jira y Exim: el script malicioso que utiliza para colocar al coinminer en servidores Linux comprometidos también incluye una nota de contacto para sus víctimas.
Internet Seguro
Mientras que, en versiones anteriores del malware, los atacantes solo ofrecerían sus servicios para eliminar la infección que prometía enviar a sus víctimas un “script de limpieza”, “la fuente de entrada y parche”, la nota de esta variante dice que la misión de los atacantes es “mantener internet seguro”.
También dicen que el malware solo minará criptomonedas en servidores comprometidos, sin intención de alterar los datos almacenados de ninguna manera ni pedir un rescate.
La nota incluida en el script malicioso está disponible a continuación:
#This is the Old-ReBuild Lady job copy
#
#Goal:
# The goal of this campaign is as follows;
# - To keep the internet safe.
# - To keep them hackers from causing real damage to organisations.
# - We know you feel We are a potential threat, well We ain't.
# - We want to show how tiny vulns could lead to total disaters.
# - We know you feel We are Hypocrite's, because we mine. Well if we don't how the hell we gonna let you know we are in.
# - Please We plead to evey one out there don't sabotage this campaign (We want to keep the internet safe).
# - Sometimes you gotta break the rules to make them.
#
#Disclaimer:
#1) We only Wanna Mine.
#2) We don't want your data, or anything or even a ransom.
#3) Please if you find this code, don't post about it.
#4) We make your security better by breaking it.
#
#Contact:
#1) If your server get's infected:
# - We will provide cleanup script.
# - We will share source of entry into your servers and patch (surely).
# - Please if you contacting, please send your affected server's ip and services your run on the server.
# - lets talk jeff4r-partner[@]tutanota.com or jeff4r-partner[@]protonmail.com
#2) If you want to partner with us ?.
# - Well nothing to say.
#
#Note:
#1) We don't have access to Jeff4r190[@]tutanota.com anymore.
Hemos tratado de contactarnos con los operadores de Watchbog para obtener sus comentarios, pero no hemos recibido respuesta al momento de esta publicación.