Los piratas informáticos atacan a los servidores para extraer criptomonedas

Los piratas informáticos ahora están atacando sistemas para llevar a cabo actividades de minería criptográfica, según un informe de investigadores de la firma de seguridad en la nube Wiz. Los investigadores declararon que los piratas informáticos están armando interfaces de protocolo de alambre de depuración Java (JDWP) expuesto para obtener capacidades de ejecución de código en sistemas comprometidos.

Según el informe , después de obtener capacidades de ejecución del código, los hackers desplegaron mineros criptográficos en los sistemas de sus hosts comprometidos. "El atacante utilizó una versión modificada de XMRIG con una configuración codificada, lo que les permite evitar argumentos sospechosos de línea de comandos que a menudo son marcados por los defensores", dijeron los investigadores. Agregaron que la carga útil utilizaba los representantes de la piscina minera para ocultar la billetera criptográfica del atacante, evitando que los investigadores trac más.

Los piratas informáticos arman JDWP expuesto para llevar a cabo actividades mineras

Los investigadores observaron la actividad contra sus servidores Honeypot que ejecutan TeamCity, una herramienta popular de integración continua y entrega continua (CI/CD). JDWP es un protocolo de comunicación utilizado en Java para la depuración. Con el protocolo, el depurador se puede usar para trabajar en diferentes procesos, una aplicación Java en la misma computadora o una computadora remota.

Sin embargo, debido al hecho de que JDWP carece de un mecanismo de control de acceso, exponerlo a Internet puede abrir nuevos vectores de ataque que los piratas informáticos pueden abusar como un punto de entrada para permitir el control total sobre el proceso de Java en ejecución. Para simplificarlo, la configuración errónea se puede usar para inyectar y ejecutar comandos arbitrarios para configurar la persistencia y finalmente ejecutar cargas útiles maliciosas.

"Si bien JDWP no está habilitado de forma predeterminada en la mayoría de las aplicaciones Java, se usa comúnmente en entornos de desarrollo y depuración", dijeron los investigadores. "Muchas aplicaciones populares AutomaticAlly inician un servidor JDWP cuando se ejecuta en modo de depuración, a menudo sin hacer que los riesgos sean obvios para el desarrollador. Si se asegura de manera incorrecta o expuesta, esto puede abrir la puerta a las vulnerabilidades de ejecución de código remoto (RCE)".

Algunas de las aplicaciones que pueden lanzar un servidor JDWP cuando están en modo de depuración incluyen TeamCity, Apache Tomcat, Spring Boot, Elasticsearch, Jenkins y otros. Los datos de Greynoise mostraron que se han escaneado más de 2.600 direcciones IP para puntos finales JDWP en las últimas 24 horas, de las cuales 1.500 direcciones IP son maliciosas y 1.100 se clasifican como sospechosos. El informe mencionó que la mayoría de estas direcciones IP se originaron en Hong Kong, Alemania, Estados Unidos, Singapur y China.

Los investigadores detallan cómo se llevan a cabo los ataques

En los ataques observados por los investigadores, los piratas informáticos aprovechan el hecho de que la máquina virtual Java (JVM) escucha las conexiones de depuradores en el puerto 5005 para iniciar escaneo para los puertos JDWP abiertos en Internet. Después de eso, se envía una solicitud JDWP-HandShake para confirmar si la interfaz está activa. Una vez que confirma que el servicio está expuesto e interactivo, los piratas informáticos se mueven para ejecutar un comando para buscar, llevando a cabo un script de shell de gotero que se espera que realice una serie de acciones.

These series of actions include killing all competing miners or any high-CPU processes on the system, dropping a modified version of XMRig miner for the appropriate system architecture from an external server (“awarmcorner[.]world”) into “~/.config/logrotate”), establishing persistence by setting cron jobs to ensure that payload is re-fetched and re-executed after every shell login, reboot, or scheduled time intervalo y eliminarse a sí mismo en la salida.

"Al ser de código abierto, XMRIG ofrece a los atacantes la conveniencia de una fácil personalización, lo que en este caso implicó eliminar toda la lógica de análisis de la línea de comandos y codificar la configuración", dijeron los investigadores. "Este ajuste no solo simplifica la implementación, sino que también permite que la carga útil imite el proceso de logrotato original de manera más convincente".

Esta divulgación se produce cuando NSFOCUS señaló que un nuevo y evolutivo malware basado en GO llamado HPingBot que ha estado dirigido a de Windows y Linux puede lanzar un ataque distribuido de negación de servicio (DDoS) usando HPing3.

Key Difference Wire ayuda a las marcas criptográficas a romper y dominar los titulares rápidamente