黑客攻击服务器以开采加密货币

根据云安全公司Wiz的研究人员的报告，黑客现在正在攻击系统以进行加密挖掘活动。研究人员表示，黑客正在将暴露的Java调试线协议（JDWP）接口进行武器化，以获得损害系统上的代码执行功能。

根据该报告，在获得代码执行功能后，黑客在其受损的主机的系统上部署了加密矿工。研究人员说：“攻击者使用用硬编码的配置使用了修改版的XMRIG版本，使他们避免了后卫经常标记的可疑命令行参数。”他们补充说，有效载荷使用采矿池代理来掩盖攻击者的加密钱包，从而阻止了调查人员trac它。

黑客武器将暴露的JDWP武器进行采矿活动

研究人员观察到了对运行Teamcity的Honeypot服务器的活动，这是一种流行的连续集成和连续交付（CI/CD）工具。 JDWP是Java中用于调试的通信协议。使用该协议，调试器可用于处理不同的进程，同一计算机上的Java应用程序或远程计算机。

但是，由于JDWP缺乏访问控制机制，因此将其暴露于Internet可以打开新的攻击向量，黑客可以滥用该攻击媒介，以便能够完全控制运行的Java流程。为了简化它，可以使用错误配置来注入和执行任意命令，以便在持久性上设置持久性并最终运行恶意有效载荷。

研究人员说：“虽然在大多数Java应用程序中默认不启用JDWP，但它通常用于开发和调试环境中。” “许多流行的应用程序自动maticAlly在调试模式下运行时启动JDWP服务器，通常不会使开发人员的风险显而易见。如果不正确地固定或放定暴露，这可以打开远程代码执行（RCE）漏洞的大门。”

在调试模式下，可能会启动JDWP服务器的某些应用程序包括TeamCity，Apache Tomcat，Spring Boot，Elasticsearch，Jenkins等。 Greynoise的数据显示，在过去的24小时内已扫描了JDWP端点的2,600多个IP地址，其中1,500个IP地址是恶意的，1,100个被归类为可疑。该报告提到，大多数IP地址源自香港，德国，美国，新加坡和中国。

研究人员详细介绍了如何进行攻击

在研究人员观察到的攻击中，黑客利用了这一事实，即Java虚拟机（JVM）在端口5005上听取调试连接以启动整个Internet上的JDWP端口的扫描。之后，发送了JDWP Handshake请求以确认接口是否处于活动状态。一旦确认服务已暴露和交互式，黑客将移动执行命令以获取，并执行一个滴管壳脚本，该脚本有望执行一系列操作。

这一系列的动作包括杀死系统上所有竞争矿工或任何高CPU流程，从外部服务器（“ Awarmcorner [。] World”）中丢弃XMRIG MINER修改版本，以“〜/.config/loogrotate”为“〜/.config/loogrotate”），通过设置有效性的shool shall shall of thit thit early thimipie shepent ofer-rececep ecececececept，并恢复了依据。间隔，并在退出时删除自身。

研究人员说：“作为开源的XMRIG，XMRIG为攻击者提供了简单定制的便利性，在这种情况下，这涉及删除所有命令行解析逻辑和配置进行硬编码。” “这种调整不仅简化了部署，而且还允许有效载荷更具说服力地模仿原始的Loogrotate过程。”

该披露是NSFOCUS指出的，一种名为Hpingbot的新的，基于GO的恶意软件已针对Windows和Linux系统可以使用Hping3启动分布式拒绝服务（DDOS）攻击。

加密大都会学院：想在2025年养活您的钱吗？在即将到来的WebClass中DeFi进行操作保存您的位置