Angriffe auf Java Debug Wire Protocol: Kryptomining-Malware im Visier

LONDON (IT BOLTWISE) – Eine neue Angriffswelle zielt auf Organisationen ab, die versehentlich ihre Java Debug Wire Protocol (JDWP)-Server dem Internet aussetzen. Diese Angriffe nutzen diese oft übersehene Schwachstelle, um ausgeklügelte Kryptomining-Malware zu installieren.

In der Welt der Cybersicherheit gibt es immer wieder neue Bedrohungen, die Unternehmen vor große Herausforderungen stellen. Eine dieser Bedrohungen ist die Ausnutzung des Java Debug Wire Protocol (JDWP), das eigentlich dazu gedacht ist, Entwicklern die Fernwartung und -inspektion von Anwendungen zu ermöglichen. Doch wenn JDWP auf Produktionssystemen zugänglich bleibt, sei es durch Fehlkonfigurationen oder die Nutzung von Entwicklungsflags in Live-Umgebungen, wird es zu einem gefährlichen Einfallstor für Angreifer.

Die aktuelle Bedrohungslage zeigt, dass Angreifer in der Lage sind, innerhalb weniger Stunden nach der Exposition von JDWP-Servern diese zu kompromittieren. Der typische Angriffsablauf beginnt mit massenhaften Internetscans nach offenen JDWP-Ports, meist Port 5005. Sobald ein Ziel identifiziert ist, wird ein JDWP-Handshake initiiert, um den aktiven Dienst zu bestätigen und eine Sitzung zu etablieren, die den Angreifern interaktiven Zugriff auf die Java Virtual Machine (JVM) gewährt.

Dieser Zugriff ermöglicht es den Angreifern, geladene Klassen zu enumerieren und Methoden aufzurufen, was letztlich die Ausführung beliebiger Befehle auf dem Host erlaubt. Die Analysten von Wiz entdeckten diese Kampagne, nachdem sie Exploit-Versuche gegen ihre Honeypot-Server beobachtet hatten, die TeamCity, ein beliebtes CI/CD-Tool, betrieben.

Die Angreifer zeigten ein hohes Maß an Automatisierung und Anpassung, indem sie einen modifizierten XMRig-Kryptominer mit einer fest kodierten Konfiguration einsetzten, um der Erkennung zu entgehen. Besonders bemerkenswert ist, dass die Malware Mining-Pool-Proxys verwendet, um die Ziel-Wallet-Adresse zu verschleiern, was die Nachverfolgung oder Unterbrechung der illegalen Mining-Operation erschwert.

Die Auswirkungen dieser Angriffe sind erheblich. Durch den Missbrauch von JDWP können Bedrohungsakteure nicht nur Kryptominer installieren, sondern auch tiefgreifende Persistenz etablieren, Systemprozesse manipulieren und möglicherweise auf weitere Ressourcen innerhalb der kompromittierten Umgebung zugreifen. Die Tarnung der Schadsoftware, kombiniert mit ihrer Fähigkeit, sich in legitime Systemprogramme einzufügen, erhöht das Risiko einer langanhaltenden, unentdeckten Aktivität und Ressourcenbelastung.

Im Fokus der Infektionsmechanismen steht die Ausnutzung der fehlenden Authentifizierung von JDWP, um Shell-Befehle direkt über das Protokoll zu injizieren und auszuführen. Nach der Sitzungsherstellung laden die Angreifer typischerweise ein Dropper-Skript herunter, wie etwa logservice.sh, und führen es aus. Dieses Skript ist darauf ausgelegt, konkurrierende Miner zu beenden, die bösartige XMRig-Binärdatei herunterzuladen, die als logrotate getarnt ist, und sie im Konfigurationsverzeichnis des Benutzers zu installieren.

Das Skript richtet dann mehrere Persistenzmechanismen ein, einschließlich der Modifikation von Shell-Startdateien, der Erstellung von Cron-Jobs und der Installation eines gefälschten Systemdienstes. Die Infektionskette ist sowohl effizient als auch widerstandsfähig, was es dem Kryptominer ermöglicht, Neustarts und Benutzeranmeldungen zu überstehen. Die Verwendung von legitim klingenden Prozessnamen und Systemstandorten durch die Angreifer erschwert die Erkennung und Behebung zusätzlich, was die Notwendigkeit einer wachsamen Konfigurationsverwaltung und einer robusten Überwachung exponierter Dienste unterstreicht.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!