Secondo un rapporto dei ricercatori della società di sicurezza cloud Wiz, gli hacker stanno ora attaccando i sistemi per svolgere attività di mining di criptovalute. I ricercatori hanno affermato che gli hacker stanno utilizzando le interfacce Java Debug Wire Protocol (JDWP) esposte per ottenere capacità di esecuzione del codice sui sistemi compromessi.
Secondo il rapporto , dopo aver acquisito capacità di esecuzione del codice, gli hacker hanno implementato crypto miner sui sistemi dei loro host compromessi. "L'aggressore ha utilizzato una versione modificata di XMRig con una configurazione hard-coded, che gli ha permesso di evitare argomenti sospetti della riga di comando, spesso segnalati dai difensori", hanno affermato i ricercatori. Hanno aggiunto che il payload utilizzava proxy di mining pool per nascondere il portafoglio crittografico dell'aggressore, impedendo agli investigatori di trac ulteriormente.
Gli hacker sfruttano il JDWP esposto come arma per svolgere attività di mining
I ricercatori hanno osservato l'attività sui loro server honeypot che eseguono TeamCity, un popolare strumento di integrazione continua e distribuzione continua (CI/CD). JDWP è un protocollo di comunicazione utilizzato in Java per il debug. Grazie a questo protocollo, il debugger può essere utilizzato per lavorare su processi diversi, su un'applicazione Java sullo stesso computer o su un computer remoto.
Tuttavia, poiché JDWP non dispone di un meccanismo di controllo degli accessi, esporlo a Internet può aprire nuove vie di attacco che gli hacker possono sfruttare come punto di ingresso per ottenere il pieno controllo sul processo Java in esecuzione. Per semplificare, la configurazione errata può essere utilizzata per iniettare ed eseguire comandi arbitrari al fine di impostare la persistenza e, in definitiva, eseguire payload dannosi.
"Sebbene JDWP non sia abilitato di default nella maggior parte delle applicazioni Java, è comunemente utilizzato negli ambienti di sviluppo e debug", hanno affermato i ricercatori. "Molte applicazioni diffuse avvianomaticun server JDWP quando vengono eseguite in modalità debug, spesso senza che i rischi siano evidenti allo sviluppatore. Se non adeguatamente protetto o lasciato esposto, questo può aprire la porta a vulnerabilità di esecuzione di codice remoto (RCE)."
Alcune delle applicazioni che potrebbero avviare un server JDWP in modalità debug includono TeamCity, Apache Tomcat, Spring Boot, Elasticsearch, Jenkins e altre. I dati di GreyNoise hanno mostrato che oltre 2.600 indirizzi IP sono stati scansionati alla ricerca di endpoint JDWP nelle ultime 24 ore, di cui 1.500 indirizzi IP sono dannosi e 1.100 sono classificati come sospetti. Il rapporto ha rilevato che la maggior parte di questi indirizzi IP proveniva da Hong Kong, Germania, Stati Uniti, Singapore e Cina.
I ricercatori descrivono nel dettaglio come vengono effettuati gli attacchi
Negli attacchi osservati dai ricercatori, gli hacker sfruttano il fatto che la Java Virtual Machine (JVM) è in ascolto delle connessioni del debugger sulla porta 5005 per avviare la scansione delle porte JDWP aperte su Internet. Successivamente, viene inviata una richiesta JDWP-Handshake per confermare se l'interfaccia è attiva. Una volta confermato che il servizio è esposto e interattivo, gli hacker eseguono un comando di fetch, eseguendo uno script shell dropper che dovrebbe eseguire una serie di azioni.
Questa serie di azioni include l'eliminazione di tutti i miner concorrenti o di qualsiasi processo ad alta CPU sul sistema, l'eliminazione di una versione modificata del miner per l'architettura di sistema appropriata da un server esterno ("awarmcorner[.]world") in "~/.config/logrotate"), l'impostazione della persistenza tramite l'impostazione di cron job per garantire che il payload venga recuperato e rieseguito dopo ogni accesso alla shell, riavvio o intervallo di tempo pianificato e l'eliminazione di se stesso all'uscita.
"Essendo open source, XMRig offre agli aggressori la comodità di una facile personalizzazione, che in questo caso ha comportato l'eliminazione di tutta la logica di analisi della riga di comando e la codifica rigida della configurazione", hanno affermato i ricercatori. "Questa modifica non solo semplifica l'implementazione, ma consente anche al payload di imitare il processo logrotate originale in modo più convincente"
Questa rivelazione arriva mentre NSFOCUS ha notato che un nuovo malware in continua evoluzione basato su Go denominato Hpingbot, che ha preso di mira sia Windows che Linux, è in grado di lanciare un attacco DDoS (Distributed Denial-of-Service) utilizzando hping3.
