威胁者正在使用带有易受攻击软件的Linux服务器作为攻击目标,这些软件即软件开发和项目管理工具Jira和消息传输代理Exim,它们使用了Watchbog木马的一种变体(被趋势科技检测为Backdoor.Linux.EMEXIE.A和 Backdoor.Linux.EMEXIE.B),它删除了Monero矿工以扩展其僵尸网络操作。
一直在追踪Watchbog最近活动的“哔哔计算机”(Bleeping Computer)指出,该恶意软件是在今年早些时候利用Jenkins和Nexus Repository Manager 3等其他软件中的漏洞感染Linux服务器的。
[阅读:为什么管理员应该修改Jenkins中的默认设置] 发现新的变体
安全研究人员Polarpy发现了一个较新的变体,它滥用了两个漏洞。 第一个是CVE-2019-11581,它是Jira Server和Data Center中的服务器端模板漏洞,可能导致攻击者远程执行代码(此漏洞已被修补)。 它利用的第二个漏洞是另一个远程代码漏洞,这次漏洞涉及Exim:CVE-2019-10149(如CVE-2019-11581,此特定漏洞也已得到解决)。
如果Watchbog的感染例程成功完成,它将从Pastebin C&C服务器下载并执行命令,以在受感染的计算机上部署Monero加密货币矿工。 然后它将自身添加到多个crontab文件中以保持持久性。 据称是出于善意
关于此Watchbog变体的一个有趣的细节是,它的硬币矿工脚本包含一条注释,其中提到攻击者所谓的良好意图:通过暴露具有可利用漏洞的受感染机器来保护互联网安全。 该说明还提到,者的唯一目标是挖掘,而不打算滥用受感染服务器中的存储数据。 强调修补的重要性
尽管威胁行为者的记录没有为未经所有者批准而进行加密货币挖矿的行为辩解,但它确实突出了重要的一点:补丁应始终是组织的优先事项,尤其是当他们使用的系统和软件正在交易时 具有严重漏洞。 在这种情况下,Watchbog所利用的两个漏洞都已得到修补-使得IT管理员几乎没有借口不更新其计算机。
鉴于在DevOps环境中像Jira这样的软件的普及,组织可以通过使用诸如趋势科技DevOps安全解决方案之类的技术来增强其整体安全性,这些技术将安全性融入了开发流程中,使他们能够提高开发周期的效率并减少人工干预 点和错误。
企业可以考虑的另一种安全技术是趋势科技™Deep Discovery™解决方案,该解决方案提供检测,深入分析以及对通过专用引擎,自定义沙盒和利用漏洞通过整个攻击进行无缝关联的攻击的主动响应 生命周期,即使没有任何引擎或病毒码更新,它也可以检测到这些攻击。
它还包括趋势科技深度威胁发现设备,它可以通过以下DDI规则保护客户免受本文中特定的Watchbog攻击:
CVE-2019-10149 DDI规则2945:CVE-2019-10149 Exim远程代码执行漏洞-SMTP(请求) DDI规则4101:CVE-2019-10149 Exim远程代码执行漏洞-SMTP(请求)-变体2
CVE-2019-11581 DDI规则4162:CVE-2019-11581 Atlassian JIRA模板注入-HTTP(请求)
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢