Согласно отчету исследователей из компании Wiz, занимающейся облачной безопасностью, хакеры теперь атакуют системы для осуществления майнинга криптовалюты. Исследователи заявили, что хакеры используют уязвимые интерфейсы Java Debug Wire Protocol (JDWP) для получения возможности выполнения кода на скомпрометированных системах.
Согласно отчету , получив возможность выполнения кода, хакеры развернули криптомайнеры на системах скомпрометированных хостов. «Злоумышленник использовал модифицированную версию XMRig с жестко закодированной конфигурацией, что позволило ему избежать подозрительных аргументов командной строки, которые часто выявляются защитниками», — заявили исследователи. Они добавили, что полезная нагрузка использовала прокси-серверы майнинговых пулов для сокрытия криптовалютного кошелька злоумышленника, что не позволяло следователям отследить trac дальнейшие действия.
Хакеры используют уязвимую сеть JDWP для осуществления майнинга
Исследователи наблюдали за активностью на своих серверах-ловушках, работающих под управлением TeamCity, популярного инструмента непрерывной интеграции и непрерывной доставки (CI/CD). JDWP — это протокол связи, используемый в Java для отладки. С помощью этого протокола отладчик может использоваться для работы с различными процессами, Java-приложением на том же компьютере или на удаленном компьютере.
Однако, поскольку JDWP не имеет механизма контроля доступа, его доступ из интернета может открыть новые векторы атак, которые хакеры могут использовать в качестве точки входа для получения полного контроля над запущенным процессом Java. Проще говоря, неправильная конфигурация может быть использована для внедрения и выполнения произвольных команд с целью обеспечения постоянного присутствия и, в конечном итоге, запуска вредоносных программ.
«Хотя JDWP по умолчанию не включен в большинстве Java-приложений, он широко используется в средах разработки и отладки», — заявили исследователи. «Многие популярные приложенияmaticзапускают сервер JDWP при работе в режиме отладки, часто не сообщая разработчику о существующих рисках. При неправильной защите или незащищенности это может привести к уязвимостям удаленного выполнения кода (RCE)»
К числу приложений, которые могут запускать JDWP-сервер в режиме отладки, относятся TeamCity, Apache Tomcat, Spring Boot, Elasticsearch, Jenkins и другие. Данные GreyNoise показали, что за последние 24 часа было просканировано более 2600 IP-адресов на наличие конечных точек JDWP, из которых 1500 являются вредоносными, а 1100 классифицированы как подозрительные. В отчете отмечается, что большинство этих IP-адресов принадлежат Гонконгу, Германии, США, Сингапуру и Китаю.
Исследователи подробно описывают, как осуществляются эти атаки
В атаках, наблюдавшихся исследователями, хакеры используют тот факт, что виртуальная машина Java (JVM) прослушивает соединения отладчика на порту 5005, чтобы инициировать сканирование открытых портов JDWP в интернете. После этого отправляется запрос JDWP-Handshake для подтверждения активности интерфейса. Как только подтверждается, что сервис доступен и интерактивен, хакеры переходят к выполнению команды для получения данных, запуская скрипт оболочки-дроппера, который должен выполнить ряд действий.
Эта последовательность действий включает в себя завершение работы всех конкурирующих майнеров или любых процессов, интенсивно использующих ЦП в системе, размещение модифицированной версии майнера для соответствующей архитектуры системы с внешнего сервера («awarmcorner[.]world») в «~/.config/logrotate»), обеспечение постоянного присутствия путем настройки заданий cron для обеспечения повторной загрузки и выполнения полезной нагрузки после каждого входа в оболочку, перезагрузки или запланированного интервала времени, а также удаление самого себя при выходе.
«Будучи программным обеспечением с открытым исходным кодом, XMRig предоставляет злоумышленникам удобство простой настройки, которая в данном случае заключалась в удалении всей логики анализа командной строки и жестком кодировании конфигурации», — заявили исследователи. «Эта доработка не только упрощает развертывание, но и позволяет полезной нагрузке более убедительно имитировать исходный процесс logrotate»
Эта информация появилась после того, как NSFOCUS отметила, что новое и развивающееся вредоносное ПО на основе Go под названием Hpingbot, нацеленное как на Windows , так и на Linux, может запускать распределенную атаку типа «отказ в обслуживании» (DDoS) с использованием hping3.
