クラウドセキュリティ企業Wizの研究者による報告によると、ハッカーは現在、仮想通貨マイニング活動を行うためにシステムを攻撃している。研究者らは、ハッカーがJava Debug Wire Protocol(JDWP)の公開インターフェースを武器化し、侵入したシステム上でコード実行機能を取得していると述べた。.
報告書によると、ハッカーたちはコード実行能力を獲得した後、侵入先のホストのシステムに仮想通貨マイナーを展開した。「攻撃者はXMRigの改変版を使用し、ハードコードされた設定にすることで、防御側がしばしばフラグ付けする疑わしいコマンドライン引数を回避できた」と研究者らは述べている。さらに、ペイロードはマイニングプールプロキシを使用して攻撃者の仮想通貨ウォレットを隠し、捜査官によるtrac。
ハッカーは公開されたJDWPを武器にして採掘活動を行っている
研究者たちは、継続的インテグレーションおよび継続的デリバリー(CI/CD)ツールとして広く普及しているTeamCityを実行しているハニーポットサーバーに対するアクティビティを観察しました。JDWPは、Javaでデバッグに使用される通信プロトコルです。このプロトコルを使用することで、デバッガーは異なるプロセス、同一コンピュータ上のJavaアプリケーション、あるいはリモートコンピュータ上で動作することができます。.
しかし、JDWPにはアクセス制御メカニズムがないため、インターネットに公開すると、ハッカーが実行中のJavaプロセスを完全に制御するためのエントリポイントとして悪用できる新たな攻撃ベクトルが生まれてしまう可能性があります。簡単に言えば、この設定ミスを利用して任意のコマンドを挿入・実行することで、永続性を確立し、最終的には悪意のあるペイロードを実行することが可能です。.
「JDWPはほとんどのJavaアプリケーションでデフォルトで有効化されていませんが、開発環境やデバッグ環境では広く使用されています」と研究者らは述べています。「多くの人気アプリケーションは、デバッグモードで実行する際にJDWPサーバーをmaticに起動しますが、多くの場合、開発者にとってリスクが明確に示されていません。適切に保護されていない場合、または無防備な状態のまま放置されている場合、リモートコード実行(RCE)の脆弱性につながる可能性があります。」
デバッグモード時にJDWPサーバーを起動する可能性のあるアプリケーションには、TeamCity、Apache Tomcat、Spring Boot、Elasticsearch、Jenkinsなどがあります。GreyNoiseのデータによると、過去24時間に2,600以上のIPアドレスがJDWPエンドポイントのスキャン対象となり、そのうち1,500が悪意のあるIPアドレス、1,100が疑わしいIPアドレスに分類されました。レポートによると、これらのIPアドレスのほとんどは香港、ドイツ、米国、シンガポール、中国から発信されていました。.
研究者らは攻撃がどのように行われているかを詳細に説明している
研究者が観察した攻撃では、ハッカーはJava仮想マシン(JVM)がポート5005でデバッガ接続をリッスンするという事実を悪用し、インターネット上で開いているJDWPポートのスキャンを開始します。その後、インターフェースがアクティブかどうかを確認するために、JDWPハンドシェイク要求が送信されます。サービスが公開され、対話型であることが確認されると、ハッカーは取得コマンドを実行し、一連のアクションを実行することが期待されるドロッパーシェルスクリプトを実行します。.
これらの一連のアクションには、システム上の競合するマイナーやCPUを多く使用するプロセスをすべて強制終了すること、適切なシステムアーキテクチャ用のXMRigマイナーを外部サーバー(「awarmcorner[.]world」)から「~/.config/logrotate」にドロップすること、シェルログイン、再起動、またはスケジュールされた時間間隔のたびにペイロードが再取得および再実行されるようにcronジョブを設定して永続性を確立すること、終了時に自身を削除することが含まれます。
「オープンソースであるXMRigは、攻撃者に容易なカスタマイズという利便性を提供します。今回のケースでは、コマンドライン解析ロジックをすべて削除し、設定をハードコーディングする必要がありました」と研究者らは述べています。「この変更により、展開が簡素化されるだけでなく、ペイロードが元のlogrotateプロセスをより確実に模倣できるようになります。」
Windows両方のシステムをターゲットにしている Hpingbot という新しい進化型の Go ベースのマルウェアがhping3 を使用して分散型サービス拒否 (DDoS) 攻撃を開始できることを NSFOCUS が指摘したことを受けて行われたものです。
