Троян Watchbog Linux создает ботнет из уязвимых серверов Jira и Exim, затем используя их для добычи криптовалюты Monero. Весной текущего года Watchbog компрометировал уязвимые перед известными багами установки Jenkins, а также Nexus Repository Manager 3, ThinkPHP и Linux Supervisord. Но теперь специалисты Intezer Labs заметили, что операторы малвари переключили свое внимание на Jira и Exim.

Так, обнаруженный на VirusTotal образец малвари эксплуатирует свежий баг в Jira (CVE-2019-11581), который допускает удаленное исполнение произвольного кода. Также Watchbog злоупотребляет уязвимостью удаленного выполнения команд в почтовом агенте Exim, которая имеет идентификатор CVE-2019-10149. Напомню, что обнаруженная в июне текущего года проблема позволяет злоумышленникам запускать команды от имени root на удаленных почтовых серверах. И, как сообщалось ранее, баг уже активно используют хакеры.

По статистике Shodan, в настоящее время более 1 610 000 серверов Exim могут быть уязвимы перед такими атаками, а также в сети можно найти более 54 000 уязвимых серверов Atlassian JIRA, согласно BinaryEdge.

При этом исследователи отмечают, что, по данным VirusTotal, обновленная версия трояна пока не обнаруживается защитными решениями.

По данным специалистов, троян действует весьма просто. После эксплуатации уязвимостей и проникновения на сервер, Watchbog загрузит и выполнит вредоносные команды с pastebin. В итоге на зараженной машине запустится финальная полезная нагрузка, то есть майнер криптовалюты.

Согласно файлу конфигурации, новый вариант Watchbog использует майнинговый пул minexmr.com, так же, как и предыдущие версии трояна.  Со времени предыдущей кампании, когда кошелек злоумышленников содержал примерно 13 XMR, атакующие добыли еще примерно на 53 XMR, то есть около 4500 долларов по текущему курсу.

Но, пожалуй, наиболее интересной особенностью данной вариации Watchbog является записка, которую малварь оставляет администраторам взломанных серверов. Дело в том, что в предыдущих версиях малвари ее операторы предлагали жертвам свои услуги по удалению инфекции, обещая отправить им специальный скрипт для очистки системы, а также помочь с патчингом.

Теперь же в записке говорится, что Watchbog помогает «поддерживать безопасность в интернете», а операторы малвари подчеркивают, что не собираются требовать выкуп или портить данные на серверах, но просто «безвредно» майнят криптовалюту. Вирусописатели просят не воспринимать Watchbog как угрозу и даже не саботировать их кампанию.

Оставить мнение