Hackers atacam sistemas para realizar atividades de mineração de criptomoedas

Segundo um relatório de pesquisadores da empresa de segurança em nuvem Wiz, hackers estão atacando sistemas para realizar atividades de mineração de criptomoedas. Os pesquisadores afirmaram que os hackers estão explorando vulnerabilidades nas interfaces expostas do protocolo JDWP (Java Debug Wire Protocol) para obter capacidade de execução de código em sistemas comprometidos.

Segundo o relatório, após obterem permissão para executar código, os hackers implantaram mineradores de criptomoedas nos sistemas dos hosts comprometidos. "O atacante usou uma versão modificada do XMRig com uma configuração pré-definida, o que lhe permitiu evitar argumentos suspeitos na linha de comando, frequentemente sinalizados pelos sistemas de segurança", afirmaram os pesquisadores. Eles acrescentaram que o payload utilizou proxies de pools de mineração para ocultar a carteira de criptomoedas do atacante, impedindo que os investigadores a trac.

Hackers exploram vulnerabilidades expostas da JDWP para realizar atividades de mineração

Os pesquisadores observaram a atividade em seus servidores honeypot executando o TeamCity, uma ferramenta popular de integração contínua e entrega contínua (CI/CD). JDWP é um protocolo de comunicação usado em Java para depuração. Com esse protocolo, o depurador pode ser usado para trabalhar em diferentes processos, em um aplicativo Java no mesmo computador ou em um computador remoto.

No entanto, devido à falta de um mecanismo de controle de acesso no JDWP, expô-lo à internet pode abrir novas brechas de segurança que hackers podem explorar como ponto de entrada para obter controle total sobre o processo Java em execução. Simplificando, a configuração incorreta pode ser usada para injetar e executar comandos arbitrários, estabelecendo persistência e, por fim, executando payloads maliciosos.

“Embora o JDWP não esteja habilitado por padrão na maioria das aplicações Java, ele é comumente usado em ambientes de desenvolvimento e depuração”, disseram os pesquisadores. “Muitas aplicações populares iniciammaticum servidor JDWP quando executadas em modo de depuração, frequentemente sem tornar os riscos óbvios para o desenvolvedor. Se não for devidamente protegido ou deixado exposto, isso pode abrir caminho para vulnerabilidades de execução remota de código (RCE).”

Algumas das aplicações que podem iniciar um servidor JDWP em modo de depuração incluem TeamCity, Apache Tomcat, Spring Boot, Elasticsearch, Jenkins e outras. Dados da GreyNoise mostraram que mais de 2.600 endereços IP foram analisados ​​em busca de endpoints JDWP nas últimas 24 horas, dos quais 1.500 são maliciosos e 1.100 são classificados como suspeitos. O relatório mencionou que a maioria desses endereços IP se originou de Hong Kong, Alemanha, Estados Unidos, Singapura e China.

Os pesquisadores detalham como os ataques estão sendo realizados

Nos ataques observados pelos pesquisadores, os hackers se aproveitam do fato de a Máquina Virtual Java (JVM) escutar conexões de depuração na porta 5005 para iniciar a varredura de portas JDWP abertas na internet. Em seguida, uma solicitação de handshake JDWP é enviada para confirmar se a interface está ativa. Assim que a JVM confirma que o serviço está exposto e interativo, os hackers executam um comando para buscar o serviço, utilizando um script shell que realiza uma série de ações.

Essa série de ações inclui encerrar todos os mineradores concorrentes ou quaisquer processos que consumam muita CPU no sistema, instalar uma versão modificada do minerador para a arquitetura de sistema apropriada a partir de um servidor externo (“awarmcorner[.]world”) em “~/.config/logrotate”), estabelecer persistência configurando tarefas cron para garantir que o payload seja buscado e executado novamente após cada login no shell, reinicialização ou intervalo de tempo agendado, e se excluir ao sair.

“Por ser de código aberto, o XMRig oferece aos atacantes a conveniência de fácil personalização, que neste caso envolveu a remoção de toda a lógica de análise da linha de comando e a codificação da configuração”, disseram os pesquisadores. “Essa alteração não apenas simplifica a implantação, mas também permite que a carga maliciosa imite o processo original do logrotate de forma mais convincente.”

Essa divulgação ocorre após a NSFOCUS ter observado que um novo malware baseado em Go, chamado Hpingbot, que está em constante evolução e tem como alvo Windows e Linux, pode lançar um ataque de negação de serviço distribuído (DDoS) usando o hping3.