黑客攻击系统进行加密挖掘活动

根据云安全公司 Wiz 研究人员的报告，黑客目前正在攻击系统以进行加密货币挖矿活动。研究人员表示，黑客正在利用暴露的 Java 调试线协议 (JDWP) 接口进行攻击，以获取在受感染系统上执行代码的能力。

根据报告在获得代码执行能力后，黑客在受感染主机的系统上部署了加密货币挖矿程序。研究人员表示：“攻击者使用了修改版的XMRig，并对其进行了硬编码配置，从而避开了防御者经常标记的可疑命令行参数。” 他们补充说，该有效载荷使用矿池代理来隐藏攻击者的加密货币钱包，从而阻止调查人员进一步追踪。

黑客利用暴露的 JDWP 进行挖矿活动

研究人员观察到针对运行 TeamCity（一种流行的持续集成和持续交付 (CI/CD) 工具）的蜜罐服务器的活动。JDWP 是 Java 中用于调试的通信协议。借助该协议，调试器可以运行于不同的进程、同一台计算机上的 Java 应用程序或远程计算机上。

然而，由于 JDWP 缺乏访问控制机制，将其暴露在互联网上可能会打开新的攻击向量，黑客可以滥用这些向量作为切入点，从而完全控制正在运行的 Java 进程。简而言之，可以利用错误配置注入并执行任意命令，从而建立持久性并最终运行恶意负载。

研究人员表示：“虽然大多数 Java 应用程序默认不启用 JDWP，但它在开发和调试环境中却很常见。许多流行的应用程序在调试模式下运行时会自动启动 JDWP 服务器，而开发人员通常不会察觉到其中的风险。如果安全措施不当或暴露在外，这可能会为远程代码执行 (RCE) 漏洞打开大门。”

在调试模式下，一些可能启动 JDWP 服务器的应用程序包括 TeamCity、Apache Tomcat、Spring Boot、Elasticsearch、Jenkins 等。GreyNoise 的数据显示，过去 24 小时内，已扫描超过 2600 个 IP 地址以查找 JDWP 端点，其中 1500 个 IP 地址为恶意 IP 地址，1100 个 IP 地址被归类为可疑 IP 地址。报告提到，这些 IP 地址大多来自香港、德国、美国、新加坡和中国。

研究人员详细说明了攻击是如何进行的

在研究人员观察到的攻击中，黑客利用 Java 虚拟机 (JVM) 在 5005 端口监听调试器连接这一特性，启动对互联网上开放的 JDWP 端口的扫描。之后，会发送 JDWP-Handshake 请求，以确认接口是否处于活动状态。一旦确认服务已暴露且可交互，黑客便会执行获取命令，执行一个预计会执行一系列操作的 dropper shell 脚本。

这一系列行动包括杀死所有竞争矿工或系统上的任何高 CPU 进程，放弃 XMRig 的修改版本miner针对适当的系统架构，从外部服务器（“awarmcorner[.]world”）复制到“~/.config/logrotate”，通过设置 cron 作业建立持久性，确保在每次 shell 登录、重启或预定的时间间隔后重新获取并重新执行有效载荷，并在退出时自行删除。

研究人员表示：“XMRig 开源，为攻击者提供了轻松定制的便利，在本例中，这涉及剥离所有命令行解析逻辑并对配置进行硬编码。这一调整不仅简化了部署，还使有效载荷能够更逼真地模拟原始的 logrotate 过程。”

此次披露正值 NSFOCUS 注意到一种名为 Hpingbot 的新型 Go 恶意软件正不断演变之际，该恶意软件一直针对视窗并且 Linux 系统可以使用 hping3 发起分布式拒绝服务 (DDoS) 攻击。

Cryptopolitan 学院：厌倦了市场波动？了解 DeFi 如何助你建立稳定的被动收入。立即注册