黑客利用暴露的JDWP接口进行加密货币挖矿攻击

根据云安全公司 Wiz 研究人员的报告，黑客正在针对系统展开攻击，以进行加密货币挖矿活动。研究人员指出，黑客通过利用暴露的 Java 调试线协议 (JDWP) 接口，获取了在受感染系统上执行代码的能力。

据报告显示，在获得代码执行能力后，黑客会在主机系统上部署加密货币挖矿程序。研究人员提到：“攻击者使用了修改版的XMRig，并对其进行了硬编码配置，从而避开了防御者经常标记的可疑命令行参数。” 他们还补充道，该有效载荷通过矿池代理隐藏了攻击者的加密货币钱包地址，从而阻碍了调查人员进一步追踪。

黑客利用暴露的 JDWP 进行挖矿活动

研究人员观察到，蜜罐服务器运行了一种流行的持续集成和持续交付 (CI/CD) 工具 TeamCity 的相关活动。JDWP 是一种用于 Java 调试的通信协议，允许调试器运行于不同的进程、同一台计算机上的 Java 应用程序或远程计算机中。

然而，由于 JDWP 缺乏访问控制机制，一旦其暴露在互联网上，便可能成为新的攻击向量，被黑客滥用为切入点，从而完全控制正在运行的 Java 进程。简而言之，错误配置可能导致任意命令注入与执行，建立持久性并最终运行恶意负载。

研究人员表示：“虽然大多数 Java 应用程序默认未启用 JDWP，但它在开发和调试环境中非常常见。许多流行的应用程序在调试模式下运行时会自动启动 JDWP 服务器，而开发者通常未意识到潜在风险。如果安全措施不当或暴露在外，这可能会为远程代码执行 (RCE) 漏洞打开大门。”

在调试模式下，一些可能启动 JDWP 服务器的应用程序包括 TeamCity、Apache Tomcat、Spring Boot、Elasticsearch 和 Jenkins 等。GreyNoise 数据显示，过去 24 小时内，已有超过 2600 个 IP 地址扫描 JDWP 端点，其中 1500 个 IP 地址为恶意 IP，1100 个 IP 地址被归类为可疑 IP。这些 IP 地址大多来自香港、德国、美国、新加坡和中国。

研究人员详述攻击过程

研究人员观察到，黑客利用 Java 虚拟机 (JVM) 在 5005 端口监听调试器连接这一特性，对互联网上开放的 JDWP 端口发起扫描。随后发送 JDWP-Handshake 请求，确认接口是否处于活动状态。一旦确认服务暴露且可交互，黑客便会执行一系列操作，包括运行 dropper shell 脚本。

这一系列操作包括终止竞争矿工或系统上的高 CPU 占用进程，放弃 XMRig 的修改版本miner，针对适当的系统架构从外部服务器（“awarmcorner[.]world”）复制到“~/.config/logrotate”，并通过设置 cron 作业建立持久性，确保每次 shell 登录、重启或预定时间间隔后重新获取并执行有效载荷，退出时自行删除。

研究人员表示：“XMRig 开源的特性使攻击者能够轻松定制。在此案例中，攻击者剥离了所有命令行解析逻辑并对配置进行硬编码。这种调整不仅简化了部署，还使有效载荷更逼真地模拟了原始的 logrotate 过程。”

此次披露正值 NSFOCUS 注意到一种名为 Hpingbot 的新型 Go 恶意软件正不断演变之际。该恶意软件持续针对视窗及 Linux 系统，利用 hping3 发起分布式拒绝服务 (DDoS) 攻击。

Cryptopolitan 学院：厌倦了市场波动？了解 DeFi 如何助你建立稳定的被动收入。立即注册