Недавний отчет компании Wiz обнажил новую стратегию хакеров, использующих уязвимые интерфейсы Java Debug Wire Protocol (JDWP) для реализации крипто-майнинга на взломанных системах.
Как хакеры используют JDWP для атак
Исследователи из Wiz обнаружили, что хакеры эксплуатируют открытые JDWP интерфейсы, что позволяет им выполнять произвольный код на взломанных системах. JDWP — это протокол, используемый в Java для отладки, который может быть активирован во время разработки. Основная проблема заключается в отсутствии механизма контроля доступа, что делает открытые интерфейсы уязвимыми для атак.
Методы реализации крипто-майнинга
После получения возможности выполнения кода, хакеры устанавливают крипто-майнеры на пораженные системы. Используя модифицированную версию XMRig с жестко заданной конфигурацией, они избегают подозрительных аргументов командной строки. Это позволяет скрыть крипто-кошелек от следствия и замаскировать действия злоумышленников.
Обзор атаки и её последствия
Хакеры используют Java Virtual Machine (JVM), которая прослушивает соединения отладчика на порту 5005, для сканирования открытых портов JDWP в интернете. Как показали данные, за последние 24 часа было сканировано более 2600 IP-адресов, среди которых 1500 были классифицированы как злонамеренные. Основные источники этих IP-адресов включают Гонконг, Германию, США, Сингапур и Китай.
Атаки, использующие уязвимости JDWP, подчеркивают важность защиты системы от ненадежных конфигураций, особенно в средах разработки.