Canlı sohbete katılmak, haber, uzman görüşü ve piyasa sinyallerini anında almak için TELEGRAM, TWITTER, FACEBOOK, INSTAGRAM’dan bizi takip edin.
Bulut güvenlik firması Wiz’den araştırmacıların raporuna göre, hackerlar artık kripto madenciliği faaliyetlerini yürütmek için sistemlere saldırıyor. Araştırmacılar, hackerların ele geçirilmiş sistemlerde kod yürütme yetenekleri elde etmek için açıkta kalan Java Debug Wire Protocol (JDWP) arayüzlerini silah olarak kullandıklarını belirtti.
Rapora göre, kod yürütme yetenekleri elde ettikten sonra hackerlar, ele geçirdikleri ana bilgisayarların sistemlerine kripto madencileri yerleştirdi. Araştırmacılar, “Saldırgan, savunucular tarafından sıklıkla işaretlenen şüpheli komut satırı argümanlarından kaçınmalarını sağlayan, sabit kodlu bir yapılandırmaya sahip değiştirilmiş bir XMRig sürümü kullandı,” dedi. Ayrıca, kullanılan yükün, saldırganın kripto cüzdanını gizlemek için madencilik havuzu proxy’lerini kullandığını ve araştırmacıların izini sürmesini engellediğini eklediler.
Hackerlar Madencilik Faaliyetleri İçin Açık JDWP’yi Silah Olarak Kullanıyor
Araştırmacılar, popüler bir sürekli entegrasyon ve sürekli teslimat (CI/CD) aracı olan TeamCity çalıştıran honeypot sunucularına karşı aktiviteyi gözlemledi. JDWP, Java’da hata ayıklama için kullanılan bir iletişim protokolüdür. Protokol ile hata ayıklayıcı, farklı süreçler üzerinde, aynı bilgisayardaki bir Java uygulamasında veya uzak bir bilgisayarda çalışmak için kullanılabilir.
Ancak, JDWP’nin bir erişim kontrol mekanizmasından yoksun olması nedeniyle, onu internete maruz bırakmak, hackerların çalışan Java süreci üzerinde tam kontrol sağlamak için giriş noktası olarak kötüye kullanabileceği yeni saldırı vektörleri açabilir. Basitçe söylemek gerekirse, yanlış yapılandırma, kalıcılık sağlamak ve nihayetinde kötü amaçlı yükleri çalıştırmak için rastgele komutları enjekte etmek ve yürütmek için kullanılabilir.
Araştırmacılar, “JDWP çoğu Java uygulamasında varsayılan olarak etkin olmasa da, geliştirme ve hata ayıklama ortamlarında yaygın olarak kullanılır,” dedi. “Birçok popüler uygulama, hata ayıklama modunda çalıştırıldığında, genellikle geliştiriciye riskleri açıkça belirtmeden otomatik olarak bir JDWP sunucusu başlatır. Yanlış bir şekilde güvence altına alınırsa veya açıkta bırakılırsa, bu uzaktan kod yürütme (RCE) güvenlik açıklarına kapı açabilir.”
Hata ayıklama modundayken bir JDWP sunucusu başlatabilecek uygulamalardan bazıları TeamCity, Apache Tomcat, Spring Boot, Elasticsearch, Jenkins ve diğerleridir. GreyNoise’dan alınan veriler, son 24 saat içinde 2.600’den fazla IP adresinin JDWP uç noktaları için tarandığını, bunlardan 1.500 IP adresinin kötü amaçlı olduğunu ve 1.100’ünün şüpheli olarak sınıflandırıldığını gösterdi. Raporda, bu IP adreslerinin çoğunun Hong Kong, Almanya, Amerika Birleşik Devletleri, Singapur ve Çin’den kaynaklandığı belirtildi.
Araştırmacılar Saldırıların Nasıl Gerçekleştirildiğini Detaylandırıyor
Araştırmacılar tarafından gözlemlenen saldırılarda, hackerlar, Java Sanal Makinesi’nin (JVM) internet üzerinden açık JDWP bağlantı noktalarını taramaya başlamak için 5005 numaralı bağlantı noktasında hata ayıklayıcı bağlantılarını dinlemesinden faydalanıyorlar. Bundan sonra, arayüzün aktif olup olmadığını doğrulamak için bir JDWP-Handshake isteği gönderilir. Hizmetin açık ve etkileşimli olduğunu doğruladıktan sonra, hackerlar bir dizi eylemi gerçekleştirmesi beklenen bir düşürücü kabuk betiğini taşıyan bir komutu yürütmeye geçiyorlar.
Bu eylem dizileri arasında, sistemdeki tüm rakip madencileri veya yüksek CPU kullanan süreçleri sonlandırmak, harici bir sunucudan (“awarmcorner[.]world”) uygun sistem mimarisi için değiştirilmiş bir XMRig madencisini “~/.config/logrotate” içine bırakmak, her kabuk oturumu, yeniden başlatma veya planlanmış zaman aralığından sonra yükün yeniden getirilmesini ve yeniden yürütülmesini sağlamak için cron işleri ayarlayarak kalıcılık oluşturmak ve çıkışta kendini silmek yer alıyor.
Araştırmacılar, “Açık kaynaklı olması nedeniyle XMRig, saldırganlara kolay özelleştirme kolaylığı sunuyor; bu durumda tüm komut satırı ayrıştırma mantığının kaldırılması ve yapılandırmanın sabit kodlanması söz konusu oldu,” dedi. “Bu ince ayar sadece dağıtımı basitleştirmekle kalmıyor, aynı zamanda yükün orijinal logrotate sürecini daha ikna edici bir şekilde taklit etmesine de olanak tanıyor.”
Bu açıklama, NSFOCUS’un, hem Windows hem de Linux sistemlerini hedef alan ve hping3 kullanarak dağıtılmış hizmet reddi (DDoS) saldırısı başlatabilen Hpingbot adlı yeni ve gelişen Go tabanlı bir kötü amaçlı yazılımı not etmesinin ardından geldi.
