黑客攻击系统以进行加密货币挖矿活动

据云安全公司Wiz的研究人员发布的一份报告显示，黑客目前正利用攻击系统进行加密货币挖矿活动。研究人员指出，黑客正在利用暴露的Java调试线协议（JDWP）接口，在受感染的系统上获取代码执行权限。.

指出 报告，黑客在获得代码执行能力后，在其受感染主机的系统上部署了加密货币挖矿程序。研究人员表示：“攻击者使用了修改版的 XMRig，其配置是硬编码的，这使得他们能够绕过通常会被防御者标记的可疑命令行参数。”他们还补充说，有效载荷使用了挖矿池代理来隐藏攻击者的加密货币钱包，从而阻止了调查人员 trac。

黑客利用暴露的JDWP进行挖矿活动

研究人员观察了针对运行 TeamCity（一款流行的持续集成和持续交付 (CI/CD) 工具）的蜜罐服务器的活动。JDWP 是 Java 中用于调试的通信协议。借助该协议，调试器可以用于处理不同的进程、同一台计算机上的 Java 应用程序，或者远程计算机。.

然而，由于 JDWP 缺乏访问控制机制，将其暴露在互联网上可能会打开新的攻击途径，黑客可以利用这些途径作为入口点，从而完全控制正在运行的 Java 进程。简而言之，配置错误可被用于注入和执行任意命令，以建立持久化保护并最终运行恶意载荷。.

研究人员表示：“虽然大多数 Java 应用程序默认情况下未启用 JDWP，但它在开发和调试环境中却很常用。许多流行的应用程序在调试模式下运行时会matic启动 JDWP 服务器，但通常不会向开发人员明确指出其中的风险。如果安全措施不当或暴露在外，则可能导致远程代码执行 (RCE) 漏洞。”

一些在调试模式下可能会启动 JDWP 服务器的应用程序包括 TeamCity、Apache Tomcat、Spring Boot、Elasticsearch、Jenkins 等。GreyNoise 的数据显示，过去 24 小时内，超过 2600 个 IP 地址被扫描以查找 JDWP 端点，其中 1500 个 IP 地址被判定为恶意地址，1100 个被判定为可疑地址。报告指出，这些 IP 地址大多来自香港、德国、美国、新加坡和中国。.

研究人员详细描述了这些攻击是如何进行的。

研究人员观察到的攻击中，黑客利用Java虚拟机（JVM）监听5005端口调试器连接的特性，扫描互联网上开放的JDWP端口。之后，发送JDWP握手请求以确认接口是否处于活动状态。一旦确认服务已开放且可交互，黑客便会执行一个获取命令，该命令会运行一个投放器shell脚本，该脚本会执行一系列操作。.

这一系列操作包括：终止系统上所有竞争的矿工或任何占用大量 CPU 资源的进程；从外部服务器（“awarmcorner[.]world”）将适用于相应系统架构的修改版 XMRig 矿工程序 放入“~/.config/logrotate”；通过设置 cron 作业来建立持久性，以确保在每次 shell 登录、重启或计划时间间隔后重新获取并重新执行有效负载；并在退出时删除自身。

研究人员表示：“由于 XMRig 是开源的，攻击者可以轻松地对其进行自定义，在本例中，他们移除了所有命令行解析逻辑并将配置硬编码到代码中。这种调整不仅简化了部署，而且还使有效载荷能够更逼真地模仿原始的 logrotate 过程。”

NSFOCUS 指出，一种名为 Hpingbot 的基于 Go 语言的新型恶意软件正在不断演变，该恶意软件针对 Windows 和 Linux 系统，并可以使用 hping3 发起分布式拒绝服务 (DDoS) 攻击。