黑客攻擊系統進行加密挖掘活動

根據報告在獲得代碼執行能力後，黑客在受感染主機的系統上部署了加密貨幣挖礦程序。 研究人員表示：“攻擊者使用了修改版的XMRig，並對其進行了硬編碼配置，從而避開了防御者經常標記的可疑命令行參數。” 他們補充說，該有效載荷使用礦池代理來隱藏攻擊者的加密貨幣錢包，從而阻止調查人員進一步追踪。

黑客利用暴露的 JDWP 進行挖礦活動

研究人員觀察到針對運行 TeamCity（一種流行的持續集成和持續交付 (CI/CD) 工具）的蜜罐服務器的活動。 JDWP 是 Java 中用於調試的通信協議。 借助該協議，調試器可以運行於不同的進程、同一台計算機上的 Java 應用程序或遠程計算機上。

然而，由於 JDWP 缺乏訪問控制機制，將其暴露在互聯網上可能會打開新的攻擊向量，黑客可以濫用這些向量作為切入點，從而完全控制正在運行的 Java 進程。 簡而言之，可以利用錯誤配置注入並執行任意命令，從而建立持久性並最終運行惡意負載。

研究人員表示：“雖然大多數 Java 應用程序默認不啟用 JDWP，但它在開發和調試環境中卻很常見。許多流行的應用程序在調試模式下運行時會自動啟動 JDWP 服務器，而開發人員通常不會察覺到其中的風險。如果安全措施不當或暴露在外，這可能會為遠程代碼執行 (RCE) 漏洞打開大門。”

在調試模式下，一些可能啟動 JDWP 服務器的應用程序包括 TeamCity、Apache Tomcat、Spring Boot、Elasticsearch、Jenkins 等。 GreyNoise 的數據顯示，過去 24 小時內，已掃描超過 2600 個 IP 地址以查找 JDWP 端點，其中 1500 個 IP 地址為惡意 IP 地址，1100 個 IP 地址被歸類為可疑 IP 地址。 報告提到，這些 IP 地址大多來自香港、德國、美國、新加坡和中國。

研究人員詳細說明了攻擊是如何進行的

在研究人員觀察到的攻擊中，黑客利用 Java 虛擬機 (JVM) 在 5005 端口監聽調試器連接這一特性，啟動對互聯網上開放的 JDWP 端口的掃描。 之後，會發送 JDWP-Handshake 請求，以確認接口是否處於活動狀態。 一旦確認服務已暴露且可交互，黑客便會執行獲取命令，執行一個預計會執行一系列操作的 dropPEr shell 腳本。

這一系列行動包括殺死所有競爭礦工或系統上的任何高 CPU 進程，放棄 XMRig 的修改版本miner針對適當的系統架構，從外部服務器（“awarmcorner[.]world”）複製到“~/.config/logrotate”，通過設置 cron 作業建立持久性，確保在每次 shell 登錄、重啟或預定的時間間隔後重新獲取並重新執行有效載荷，並在退出時自行刪除。

研究人員表示：“XMRig 開源，為攻擊者提供了輕鬆定制的便利，在本例中，這涉及剝離所有命令行解析邏輯並對配置進行硬編碼。這一調整不僅簡化了部署，還使有效載荷能夠更逼真地模擬原始的 logrotate 過程。”

此次披露正值 NSFOCUS 注意到一種名為 HPIngbot 的新型 Go 惡意軟件正不斷演變之際，該惡意軟件一直針對視窗並且 Linux 系統可以使用 hping3 發起分佈式拒絕服務 (DDoS) 攻擊。

Cryptopolitan 學院：厭倦了市場波動？ 了解 DeFi 如何助你建立穩定的被動收入。 立即註冊