Кіберзлочинці атакують уразливі сервери Jira і Exim з метою зараження їх новою версією Linux-трояна Watchbog і майнінгу криптовалюти Monero.
Watchbog – це шкідливе ПЗ для зараження серверів на базі Linux шляхом експлуатації уразливого програмного забезпечення, наприклад, Jenkins, Nexus Repository Manager 3, ThinkPHP або Linux Supervisord.
За словами дослідника з Intezer Labs, нова версія експлуатує нещодавно виявлену уразливість впровадження шаблону (template injection) в Jira (CVE-2019-11581), яка дозволяє виконувати віддалений код. Також шкідник використовує RCE-уразливість в Exim (CVE-2019-10149), що дозволяє зловмисникам виконувати команди з правами суперкористувача.
#WatchBog botnet (https://t.co/7C6AAtNTXW) spotted exploiting 12-day old #Jira CVE-2019-11581 and #Exim CVE-2019-10149 with Cython-compiled binary.
M5: f839fc8e7f22be30d73286fd665c8c3c
Patch Patch Patch!
Added to Intezer Analyze – https://t.co/hWZBCHNjxM pic.twitter.com/6s7bXCfV9d
— polka (@polarply) July 22, 2019
Згідно пошуку Shodan, на цей момент у Мережі налічується більше 1 610 000 вразливих серверів Exim, а також більш 54 000 уразливих серверів Atlassian JIRA.
Watchbog завантажує на сервери криптомайнер для валюти Monero, а також вживає заходів для збереження присутності в системі, зокрема додає себе в кілька файлів crontab для повторного інфікування системи в разі, якщо користувач видалить один із цих файлів.
Валюту відправляли на адресу:
47k2wdnyyBoMT6N9ho5Y7uQg1J6gPsTboKP6JXfB5msf3jUUvTfEceK5U7KLnWir5VZPKgUVxpkXnJLmijau3VZ8D2zsyL7.
Одна з відмінних рис цієї кампанії полягає в тому, що шкідник залишає повідомлення своїм жертвам, згідно з яким, мотивом зловмисників є “безпека Інтернету“.
До речі, шпигунська програма під назвою Pegasus від ізраїльської компанії NSO Group тепер здатна витягувати дані користувачів із хмарних сховищ Apple, Google, Facebook, Amazon і Microsoft.
Нагадаємо, версія Microsoft Edge, встановлена в Windows 10, відправляє повну URL-адресу сайтів, які відвідує користувач, компанії Microsoft. Ці дані містять не тільки інформацію про сторінку, а й ідентифікатор безпеки.
Також компанія Vivo впроваджує нову унікальну технологію для своїх смартфонів, що отримала назву “Dual Wi-Fi Acceleration”. Вона дозволяє підключатися до двох Wi-Fi одночасно для більш стабільного з’єднання.
Стало відомо, що фальшиву шкідливу програму маскують під FaceApp та розповсюджують через інфіковані веб-сайти та YouTube.
Окрім цього, навіть правоохоронні органи втратять можливість прослуховувати мобільні пристрої з запуском технологій 5G.
Зверніть увагу, співробітники Служби безпеки України спільно з партнерами із США припинили діяльність потужного хакерського угруповання. Відео замаскованого центру дивіться тут.
Завантажувач CCleaner містить рекламні пропозиції сторонніх продуктів. Так, користувачі CCleaner, які оновлюють програму або встановлюють її заново за допомогою оффлайн-завантажувача, можуть отримати ці пропозиції.
Аналітики Mangrove Capital Partners заявляють, що Apple представить операційну систему SiriOS в 2020 році. Вона буде використовуватися в пристроях “інтернету речей”.