JDWPMiner копаещ троянец

До Mezo през Trojansг

Превод на:

JDWPMiner Mining Trojan е заплаха за злонамерен софтуер, открита от изследователи на infosec. Този конкретен зловреден софтуер е част от заплашителна операция за атака, която е насочена към инсталиране, използвайки JDWP (Java Debug Wire Protocol). JDWP е протоколът, използван за комуникация между програма за отстраняване на грешки и виртуалната машина на Java, която отстранява. Нападателите експлоатират уязвимост на RCE (Remote Code Execution), за да доставят миньорски троянец, заедно с установяване на контрол върху компрометираната система.

Веригата за атака

Тъй като Java е обща част от разработването на всички приложения, всяка открита уязвимост може да позволи на нападателите да заразят значително количество потенциални жертви. В случая на JDWPMiner, актьорът на заплахата търси инсталация, където дистанционното отстраняване на грешки не е затворено. Киберпрестъпниците злоупотребяват с Java Debug RCE, за да получат незаконен достъп и след това да доставят бинарни файлове за копаене. Полезните товари се извличат от опасен източник и се използват за установяване на минна операция. Впоследствие ресурсите на системата, главно процесорът, ще бъдат пренасочени към добив на конкретна криптовалута. Естествено, това би оставило по -малко ресурси за нормалните операции, извършвани на заразените устройства, което би довело до намаляване на продукцията и потенциални загуби.

В допълнение, заплахата добавя ключ към authorized_key, който му позволява да установи отдалечен достъп. След това той изпълнява четири различни метода за възстановяване на черупката и постигане на пълен контрол над хоста. След това жертвите могат да претърпят изтичане на данни, загуба на данни или други отрицателни резултати в зависимост от злонамерените намерения на нападателите. Заплахата също е оборудвана с множество техники за устойчивост. Той използва crontab, cron.d и rc.local за установяване на планирани задачи или задания.

Смекчаване

За да предотвратите проникването на JDWPMiner Trojan във вашата система, можете да вземете няколко лесни за прилагане предпазни мерки. Първо затворете порта JDWP или помислете за деактивирането му от интернет. Ако извършвате отстраняване на грешки в поетапна среда, уверете се, че сте деактивирали режима за отстраняване на грешки, след като изпълните задачите си. Деактивирането на режима за отстраняване на грешки в Java също ще помогне за спиране на проникването на заплахата.