Los hackers ahora están atacando sistemas para realizar actividades de minería de criptomonedas, según un informe de investigadores de la firma de seguridad en la nube Wiz. Los investigadores afirmaron que los hackers están utilizando interfaces expuestas del Protocolo de Depuración de Java (JDWP) para obtener capacidades de ejecución de código en sistemas comprometidos.
Según el informe , tras obtener capacidades de ejecución de código, los hackers implementaron mineros de criptomonedas en los sistemas de sus hosts comprometidos. "El atacante utilizó una versión modificada de XMRig con una configuración predefinida, lo que le permitió evitar argumentos sospechosos en la línea de comandos que suelen ser detectados por los defensores", afirmaron los investigadores. Añadieron que la carga útil utilizaba proxies de grupos de minería para ocultar la billetera de criptomonedas del atacante, impidiendo a los investigadores trac .
Los piratas informáticos utilizan el JDWP expuesto como arma para realizar actividades de minería
Los investigadores observaron la actividad en sus servidores honeypot que ejecutaban TeamCity, una popular herramienta de integración y entrega continuas (CI/CD). JDWP es un protocolo de comunicación utilizado en Java para la depuración. Con este protocolo, el depurador puede utilizarse para trabajar en diferentes procesos, en una aplicación Java en el mismo equipo o en un equipo remoto.
Sin embargo, debido a que JDWP carece de un mecanismo de control de acceso, exponerlo a internet puede abrir nuevos vectores de ataque que los hackers pueden aprovechar como punto de entrada para obtener control total sobre el proceso Java en ejecución. En resumen, la configuración incorrecta puede utilizarse para inyectar y ejecutar comandos arbitrarios con el fin de configurar la persistencia y, en última instancia, ejecutar cargas maliciosas.
“Si bien JDWP no está habilitado por defecto en la mayoría de las aplicaciones Java, se usa comúnmente en entornos de desarrollo y depuración”, afirmaron los investigadores. “Muchas aplicaciones populares inicianmaticun servidor JDWP al ejecutarse en modo de depuración, a menudo sin que los riesgos sean evidentes para el desarrollador. Si no se protege adecuadamente o se deja expuesto, esto puede dar lugar a vulnerabilidades de ejecución remota de código (RCE)”
Algunas de las aplicaciones que pueden iniciar un servidor JDWP en modo de depuración incluyen TeamCity, Apache Tomcat, Spring Boot, Elasticsearch, Jenkins y otras. Los datos de GreyNoise muestran que se han escaneado más de 2600 direcciones IP en busca de endpoints JDWP en las últimas 24 horas, de las cuales 1500 son maliciosas y 1100 se clasifican como sospechosas. El informe menciona que la mayoría de estas direcciones IP provienen de Hong Kong, Alemania, Estados Unidos, Singapur y China.
Los investigadores detallan cómo se llevan a cabo los ataques
En los ataques observados por los investigadores, los hackers aprovechan que la Máquina Virtual Java (JVM) escucha las conexiones del depurador en el puerto 5005 para iniciar el escaneo de puertos JDWP abiertos en internet. Posteriormente, se envía una solicitud JDWP-Handshake para confirmar si la interfaz está activa. Una vez confirmada la exposición del servicio y su interacción, los hackers ejecutan un comando de búsqueda, ejecutando un script de shell dropper que, según se espera, realizará una serie de acciones.
Esta serie de acciones incluye matar a todos los mineros que compiten o cualquier proceso de alto consumo de CPU en el sistema, colocar una versión modificada del minero para la arquitectura de sistema adecuada desde un servidor externo ("awarmcorner[.]world") en "~/.config/logrotate"), establecer persistencia configurando trabajos cron para garantizar que la carga útil se vuelva a obtener y ejecutar después de cada inicio de sesión de shell, reinicio o intervalo de tiempo programado, y eliminarse a sí mismo al salir.
Al ser de código abierto, XMRig ofrece a los atacantes la comodidad de una fácil personalización, que en este caso implicó eliminar toda la lógica de análisis de la línea de comandos e integrar la configuración en el código fijo, afirmaron los investigadores. Esta modificación no solo simplifica la implementación, sino que también permite que la carga útil imite el proceso de logrotate original de forma más convincente
Esta revelación llega cuando NSFOCUS señaló que un nuevo y cambiante malware basado en Go llamado Hpingbot que ha estado apuntando a Windows y Linux puede lanzar un ataque de denegación de servicio distribuido (DDoS) utilizando hping3.
