Tehdit aktörleri, kod yürütme özelliklerini elde etmek ve tehlikeye atılan ana bilgisayarlara kripto para madencilerini dağıtmak için açıkta kalan Java Hata Ayıklama Tel Protokolü (JDWP) arayüzlerini silahlandırıyor.
Wiz araştırmacıları Yaara Shriki ve Gili Tikochinski, bu hafta yayınlanan bir raporda, “Saldırgan XMRIG’in değiştirilmiş bir versiyonunu” sert kodlanmış bir konfigürasyonla kullandı, bu da savunucular tarafından sıklıkla işaretlenen şüpheli komuta hattı argümanlarından kaçınmalarına izin verdi. “Dedi.”
Google Cloud tarafından satın alınan bulut güvenlik firması, popüler bir sürekli entegrasyon ve sürekli teslimat (CI/CD) aracı olan TeamCity’yi çalıştıran balkospot sunucularına karşı etkinliği gözlemlediğini söyledi.
JDWP, Java’da hata ayıklama amacıyla kullanılan bir iletişim protokolüdür. JDWP ile kullanıcılar, farklı bir işlemde, bir Java uygulamasında, aynı bilgisayarda veya uzak bir bilgisayarda çalışmak için bir hata ayıklayıcıdan yararlanabilir.
Ancak JDWP’nin kimlik doğrulama veya erişim kontrol mekanizmalarından yoksun olduğu göz önüne alındığında, hizmeti internete maruz bırakmak, saldırganların bir giriş noktası olarak kötüye kullanabileceği yeni bir saldırı vektörü açarak çalışan Java süreci üzerinde tam kontrol sağlayabilir.
Basitçe söylemek gerekirse, yanlış yapılandırma, kalıcılık ve nihayetinde kötü niyetli yükleri çalıştırmak için keyfi komutları enjekte etmek ve yürütmek için kullanılabilir.
Wiz, “JDWP çoğu Java uygulamasında varsayılan olarak etkin olmasa da, geliştirme ve hata ayıklama ortamlarında yaygın olarak kullanılır.” Dedi. “Birçok popüler uygulama, hata ayıklama modunda çalıştırıldığında, genellikle geliştiriciye açık riskleri belirten veya açıkta bırakılırsa, bu, uzaktan kod yürütme (RCE) güvenlik açıklarına kapıyı açabilir.”
Hata ayıklama modundayken bir JDWP sunucusunu başlatabilecek uygulamalardan bazıları TeamCity, Jenkins, Selenyum Grid, Elasticsearch, Quarkus, Spring Boot ve Apache Tomcat’ı içerir.
Greynoise’den elde edilen veriler, son 24 saat içinde JDWP uç noktaları için tarama 2.600’den fazla IP adresi gösterir, bunlardan 1.500’den fazla IP adresi kötü amaçlı ve 1.100 IP adresi şüpheli olarak sınıflandırılır. Bu IP adreslerinin büyük çoğunluğu Çin, ABD, Almanya, Singapur ve Hong Kong’dan kaynaklanmaktadır.
Wiz tarafından gözlemlenen saldırılarda, tehdit aktörleri, Java Sanal Makinesi’nin (JVM) internet genelinde açık JDWP bağlantı noktaları için tarama başlatmak için 5005 numaralı bağlantı noktasındaki hata ayıklayıcı bağlantılarını dinlediği gerçeğinden yararlanır. Bir sonraki aşamada, arayüzün etkin olup olmadığını doğrulamak ve bir JDWP oturumu oluşturup oluşturmak için bir JDWP-Handshake isteği gönderilir.
Hizmetin maruz kaldığını ve etkileşimli olduğu doğrulandıktan sonra, saldırganlar bir dizi eylem gerçekleştiren bir damlalık kabuk komut dosyası almak ve yürütmek için bir curl komutunu yürütmek için hareket eder –
- Rakip madencileri veya yüksek CPU süreçlerini öldür
- Harici bir sunucudan uygun sistem mimarisi için XMRIG Miner’in değiştirilmiş bir sürümünü bırakın (“Awarmcorner[.]dünya “)” ~/.config/logrotate “
- Her kabuk giriş, yeniden başlatma veya planlanan bir zaman aralığından sonra yükün yeniden getirilmesini ve yeniden yürütülmesini sağlamak için cron işlerini ayarlayarak kalıcılık oluşturun
- Çıkışta kendini sil
Wiz, “Açık kaynaklı olan XMRIG, saldırganlara kolay özelleştirme kolaylığı sunuyor, bu durumda tüm komut satırı ayrıştırma mantığını çıkarmayı ve yapılandırmanın sabit kodlanmasını içeriyor.” Dedi. “Bu ince ayar sadece dağıtımını basitleştirmekle kalmaz, aynı zamanda yükün orijinal logrotat işlemini daha ikna edici bir şekilde taklit etmesine izin verir.”
Yeni hpingbot botnet ortaya çıkıyor
Kötü amaçlı yazılımın dikkate değer bir yönü, tipik olarak Mirai ve Gafgyt gibi bilinen Botnet kötü amaçlı yazılım ailelerinden türetilen diğer Truva atlarının aksine, Hpingbot tamamen yeni bir zorluktur. En azından 17 Haziran 2025’ten bu yana, Almanya, ABD ve Türkiye’nin ana hedefler olduğu birkaç yüz DDOS talimatı verildi.
“Bu, Sıfırdan inşa edilen, yükleri çevrimiçi metin depolama ve paylaşım platformu pastebin aracılığıyla dağıtmak ve sadece gizliliği geliştirmekle kalmayan, aynı zamanda gelişme ve işletme maliyetlerini önemli ölçüde azaltan ağ test aracı HPPP3’ü kullanarak yüklerin dağıtılması ve DDOS saldırılarını piyasaya sürme gibi mevcut kaynakları kullanmada güçlü bir inovasyon yetenekleri ve verimliliği gösteren yeni bir Botnet ailesidir.” Dedi.
HpingBot öncelikle, sistemlere ilk erişimi elde etmek için şifre püskürtme saldırıları gerçekleştiren bağımsız bir modülle yayılan zayıf SSH konfigürasyonlarından yararlanır.
Source kodunda Alman hata ayıklama yorumlarının varlığı muhtemelen en son sürümün test altında olabileceğini göstermektedir. Saldırı zinciri, kısaca, bir IP adresine işaret etmek için Pastebin’i ölü bir damla çözücü olarak kullanmayı içerir (“128.0.118[.]18 “) bir kabuk komut dosyası indirmek için kullanılır.
Komut dosyası daha sonra enfekte olan ana bilgisayarın CPU mimarisini tespit etmek, Truva atının zaten çalışan bir sürümünü sonlandırmak ve TCP ve UDP üzerinden DDOS taşkın saldırılarını başlatmaktan sorumlu ana yükü almak için kullanılır. Hingbot ayrıca komut geçmişini temizleyerek kalıcılık oluşturmak ve enfeksiyon izlerini örtmek için tasarlanmıştır.
İlginç bir bükülmede, saldırganlar, 19 Haziran itibariyle, aynı komut ve kontrol (C2) kıdemine dayanarak, Pastebin ve Hping3’ün UDP ve TCP protokollerine dayanan yerleşik taşkın saldırı fonksiyonları çağrısına dayanan başka bir GO tabanlı DDOS bileşeni sunmak için Hpingbot tarafından kontrol edilen düğümler kullanılarak gözlendi.
Bahsetmeye değer başka bir yönü, Windows sürümünün Linux komutu “APT -Y kurulumu” kullanılarak yüklenmesi nedeniyle DDOS saldırılarını başlatmak için HPPP3’ü kullanamasa da, kötü amaçlı yazılımların, tehdit aktörlerinin bir yük yükleme ağına dönüştürmek için hizmet kesintisinin ötesine geçmeyi planlaması olasılığını düşürme ve yürütme yeteneğinin.
Diyerek şöyle devam etti: “HpingBot’un Windows sürümünün DDOS saldırıları başlatmak için doğrudan Hping3’ü çağıramayacağını belirtmek gerekir, ancak aktivitesi de aynı zamanda Saldırganların sadece DDO’ları başlatmaya odaklandığını, aynı zamanda keyfi yükleri indirme ve yürütme işlevine odaklanma olasılığının daha sık olduğunu belirtmek gerekir.”