JDWPMiner Mining Trojan

De JDWPMiner Mining Trojan is een malware-bedreiging die is ontdekt door infosec-onderzoekers. Deze specifieke malware maakt deel uit van een dreigende aanvalsoperatie die gericht is op installatie met behulp van JDWP (Java Debug Wire Protocol). JDWP is het protocol dat wordt gebruikt voor communicatie tussen een debugger en de Java-virtuele machine die het debugt. De aanvallers maken gebruik van een RCE-kwetsbaarheid (Remote Code Execution) om een mining-trojan af te leveren, naast het verkrijgen van controle over het gecompromitteerde systeem.

De aanvalsketen

Aangezien Java een gemeenschappelijk onderdeel is van de ontwikkeling van alle toepassingen, kunnen ontdekte kwetsbaarheden aanvallers in staat stellen een aanzienlijk aantal potentiële slachtoffers te infecteren. In het geval van JDWPMiner zoekt de dreigingsactor naar een installatie waarbij foutopsporing op afstand niet is afgesloten. De cybercriminelen misbruiken een Java Debug RCE om ongeoorloofde toegang te krijgen en vervolgens mijnbouwbinaire bestanden te leveren. De ladingen worden uit een onveilige bron gehaald en gebruikt om een mijnbouwactiviteit op te zetten. Vervolgens zullen de bronnen van het systeem, voornamelijk de CPU, worden omgeleid naar het minen van een specifieke cryptocurrency. Dit zou natuurlijk minder middelen overhouden voor de normale bewerkingen die op de geïnfecteerde apparaten worden uitgevoerd, wat leidt tot verminderde output en mogelijke verliezen.

Bovendien voegt de dreiging een sleutel toe aan Authorized_key, waarmee het toegang op afstand tot stand kan brengen. Vervolgens voert het vier verschillende methoden uit om de shell terug te kaatsen en totale controle over de host te krijgen. Slachtoffers kunnen dan datalekken, gegevensverlies of andere negatieve gevolgen ondervinden, afhankelijk van de snode bedoelingen van de aanvallers. De dreiging is ook uitgerust met meerdere persistentietechnieken. Het gebruikt crontab, cron.d en rc.local om geplande taken of taken vast te stellen.

Verzachting

Om te voorkomen dat de JDWPMiner Trojan uw systeem infiltreert, kunt u verschillende eenvoudig te implementeren voorzorgsmaatregelen nemen. Sluit eerst de JDWP-poort of overweeg deze van internet uit te schakelen. Als u foutopsporing uitvoert in een testomgeving, zorg er dan voor dat u de foutopsporingsmodus uitschakelt nadat u uw taken hebt voltooid. Het uitschakelen van de Java Debug-modus helpt ook om de indringing van de dreiging te stoppen.