Nova serija kibernetičkih napada usmjerena je na organizacije koje nehotice izlažu Java Debug Wire Protocol (JDWP) servere internetu. Napadači iskorištavaju ovu zanemarenu ulaznu tačku za implementaciju sofisticiranog zlonamjernog softvera za kripto rudarenje.
JDWP, kao standardna značajka Java platforme, služi za olakšavanje udaljenog otklanjanja grešaka, omogućavajući programerima da pregledaju aktivne aplikacije. Međutim, kada JDWP ostane dostupan na produkcijskim sistemima, često zbog pogrešne konfiguracije ili korištenja razvojnih zastavica u živim okruženjima, postaje moćan vektor za daljinsko izvršavanje koda.
Ova prijetnja obilježena je brzim ciklusima eksploatacije. U nekoliko zabilježenih incidenata, napadači su uspjeli ugroziti ranjive mašine u roku od nekoliko sati od izlaganja.
Tok napada obično započinje masovnim internet skeniranjem otvorenih JDWP portova, najčešće porta 5005. Nakon identifikacije cilja, napadač inicira JDWP rukovanje radi potvrde aktivnosti servisa, a zatim uspostavlja sesiju, stječući interaktivni pristup Java Virtual Machine (JVM). Ovaj pristup omogućava napadaču da nabroji učitane klase i pozove metode, čime se omogućava izvršavanje proizvoljnih naredbi na hostu.
Analitičari iz Wiz-a identificirali su ovu kampanju nakon što su primijetili pokušaje eksploatacije na svojim serverima sa medenim loncima koji pokreću TeamCity, popularan alat za CI/CD. Napadači su pokazali visok nivo automatizacije i prilagođavanja, implementirajući izmijenjeni XMRig kripto rudar sa kodiranom konfiguracijom kako bi izbjegli otkrivanje.
Posebno, zlonamjerni softver koristio je proxy-je rudarskih bazena za prikrivanje adrese novčanika odredišta, otežavajući napore za praćenje ili ometanje nedopuštene rudarske operacije.
Utjecaj ovih napada je značajan. Zloupotrebom JDWP, prijetnje mogu ne samo implementirati kripto rudare, već i uspostaviti duboko uporište, manipulirati sistemskim procesima i potencijalno se prebaciti na drugu imovinu unutar ugroženog okruženja. Skrivena priroda tereta, u kombinaciji s njegovom sposobnošću da se uklopi u legitimne sistemske alate, povećava rizik od dugotrajne, neotkrivene aktivnosti i iscrpljivanja resursa.
Fokusirajući se na mehanizam infekcije, napadači iskorištavaju nedostatak autentifikacije JDWP-a za ubrizgavanje i izvršavanje školskih naredbi izravno kroz protokol. Nakon uspostavljanja sesije, obično preuzimaju skriptu za dropper, poput logservice.sh, koristeći naredbe kao što je preuzimanje iz određenog izvora i potom izvršavanje putem bash.
Ova skripta je dizajnirana da ubije konkurentske rudare, preuzme zlonamjernu XMRig binarnu datoteku prerušenu kao logrotate i instalira je u direktorij za konfiguraciju korisnika. Skripta zatim postavlja višestruke mehanizme upornosti, uključujući izmjenu datoteka pokretanja školjki, stvaranje cron poslova i instaliranje lažne sistemske usluge. Sljedeći izvadak ilustruje kako skripta osigurava upornost putem konfiguracije školjke, dodajući izvršnu datoteku u pokretanje ako već nije prisutna.
Lanac infekcije je učinkovit i otporan, omogućujući kripto rudaru da preživi ponovno pokretanje i prijave korisnika. Korištenje naziva procesa i sistemskih lokacija koje zvuče legitimno od strane napadača dodatno otežava napore za otkrivanje i ispravljanje, naglašavajući potrebu za pažljivim upravljanjem konfiguracijom i robusnim nadzorom izloženih usluga.
