Hackers atacam servidores para minerar criptomoedas
Os hackers agora estão atacando sistemas para realizar atividades de mineração de criptografia, de acordo com um relatório de pesquisadores da empresa de segurança em nuvem Wiz. Os pesquisadores afirmaram que os hackers estão armando as interfaces expostas do Java Debug Wire Protocol (JDWP) para obter recursos de execução de código em sistemas comprometidos.
Segundo o relatório , depois de obter recursos de execução de código, os hackers implantaram mineradores de criptografia nos sistemas de seus hosts comprometidos. "O invasor usou uma versão modificada do XMRIG com uma configuração codificada, permitindo que eles evitem argumentos suspeitos da linha de comando que geralmente são sinalizados pelos defensores", disseram os pesquisadores. Eles acrescentaram que a carga útil usava proxies de pool de mineração para esconder a carteira criptográfica do atacante, impedindo que os investigadores trac ainda mais.
Hackers Armazia o JDWP exposto para realizar atividades de mineração
Os pesquisadores observaram a atividade contra seus servidores Honeypot, executando o TeamCity, uma ferramenta popular de integração contínua e entrega contínua (CI/CD). O JDWP é um protocolo de comunicação usado em Java para depuração. Com o protocolo, o depurador pode ser usado para trabalhar em diferentes processos, um aplicativo Java no mesmo computador ou um computador remoto.
No entanto, devido ao fato de o JDWP não ter um mecanismo de controle de acesso, expor -o à Internet pode abrir novos vetores de ataque que os hackers podem abusar como ponto de entrada para permitir o controle total sobre o processo Java em execução. Para simplificá -lo, a configuração incorreta pode ser usada para injetar e executar comandos arbitrários, a fim de configurar a persistência e, finalmente, executar cargas úteis maliciosas.
"Embora o JDWP não seja ativado por padrão na maioria dos aplicativos Java, ele é comumente usado em ambientes de desenvolvimento e depuração", disseram os pesquisadores. “Muitos aplicativos popularesmaticautomaticamente iniciam um servidor JDWP quando executados no modo de depuração, muitas vezes sem tornar os riscos óbvios para o desenvolvedor. Se prejudicados ou deixados de maneira inadequada, isso pode abrir a porta para a execução remota de código (RCE) de vulnerabilidades.”.
Alguns dos aplicativos que podem iniciar um servidor JDWP quando no modo de depuração incluem TeamCity, Apache Tomcat, Spring Boot, Elasticsearch, Jenkins e outros. Os dados do Greynoise mostraram que mais de 2.600 endereços IP foram digitalizados para pontos de extremidade JDWP nas últimas 24 horas, das quais 1.500 endereços IP são maliciosos e 1.100 são classificados como suspeitos. O relatório mencionou que a maioria desses endereços IP se originou de Hong Kong, Alemanha, Estados Unidos, Cingapura e China.
Os pesquisadores detalham como os ataques estão sendo realizados
Nos ataques observados pelos pesquisadores, os hackers aproveitam o fato de que a Java Virtual Machine (JVM) ouve conexões de depurador na porta 5005 para iniciar a digitalização para portas JDWP abertas em toda a Internet. Depois disso, uma solicitação JDWP-Handshake é enviada para confirmar se a interface está ativa. Depois de confirmar que o serviço é exposto e interativo, os hackers se movem para executar um comando para buscar, realizando um script de gotas de gotas que deve realizar uma série de ações.
Essas séries de ações incluem matar todos os mineiros concorrentes ou quaisquer processos de alta CPU no sistema, lançando uma versão modificada do XMRIG Miner para a arquitetura do sistema apropriada de um servidor externo (“AwarmCorner [.] World”) em “~/.Config/Logrotate”), estabelecendo a persistência, estabelecendo trabalhos de cronização, que pagam a remuneração, a remuneração, a remuneração, a remuneração, a realização, a realização, o que paga, a remuneração e a remuneração, a referência e a reposição, a reposição, que se reextou, a realização de que a remuneração é que a remuneração é que a realização de reext a referência e a reposição de que pagam a remuneração e a remuneração é que a renda, que paga a reposição, a reposição, estabelecendo os trabalhos de retenção e a remuneração. intervalo e exclua -se na saída.
"Sendo de código aberto, o XMRIG oferece aos atacantes a conveniência da personalização fácil, que nesse caso envolveu retirar toda a lógica de análise da linha de comando e codificar a configuração", disseram os pesquisadores. "Este ajuste não apenas simplifica a implantação, mas também permite que a carga útil imite o processo de Logrotate original de forma mais convincente".
Essa divulgação ocorre quando o NSFOCUS observou que um malware baseado em GO novo e em evolução chamado HpingBot que tem como alvo os Windows e Linux pode lançar um ataque de negação de serviço distribuído (DDoS) usando o HPING3.
Academia Cryptopolitan: Quer aumentar seu dinheiro em 2025? Aprenda a fazê -lo com DeFi em nossa próxima webclass. Salve seu lugar
Artigos Recomendados
