JDWPMiner Mining Trojan

Il JDWPMiner Mining Trojan è una minaccia malware scoperta dai ricercatori di infosec. Questo particolare malware fa parte di un'operazione di attacco minacciosa che prende di mira l'installazione utilizzando JDWP (Java Debug Wire Protocol). JDWP è il protocollo utilizzato per la comunicazione tra un debugger e la macchina virtuale Java di cui esegue il debug. Gli aggressori sfruttano una vulnerabilità RCE (Remote Code Execution) per fornire un Trojan di mining oltre a stabilire il controllo sul sistema compromesso.

La catena dell'attacco

Poiché Java è una parte comune dello sviluppo di tutte le applicazioni, qualsiasi vulnerabilità scoperta potrebbe consentire agli aggressori di infettare una quantità significativa di potenziali vittime. Nel caso di JDWPMiner, l'attore delle minacce cerca l'installazione in cui il debug remoto non è stato chiuso. I criminali informatici abusano di un Java Debug RCE per ottenere l'accesso illecito e quindi fornire binari di mining. I payload vengono recuperati da una fonte non sicura e utilizzati per stabilire un'operazione di mining. Successivamente, le risorse del sistema, principalmente la CPU, verranno dirottate verso il mining di una specifica criptovaluta. Naturalmente, ciò lascerebbe meno risorse per le normali operazioni svolte sui dispositivi infetti portando a una riduzione della produzione e a potenziali perdite.

Inoltre, la minaccia aggiunge una chiave a authorized_key, che le consente di stabilire l'accesso remoto. Quindi, esegue quattro diversi metodi per eseguire il rebound della shell e ottenere il controllo totale sull'host. Le vittime potrebbero quindi subire perdite di dati, perdita di dati o altri risultati negativi a seconda delle intenzioni nefaste degli aggressori. La minaccia è inoltre dotata di molteplici tecniche di persistenza. Utilizza crontab, cron.d e rc.local per stabilire attività o lavori pianificati.

Mitigazione

Per impedire a JDWPMiner Trojan di infiltrarsi nel tuo sistema, puoi prendere diverse precauzioni facili da implementare. Innanzitutto, chiudi la porta JDWP o considera la possibilità di disabilitarla da Internet. Se stai eseguendo il debug in un ambiente di staging, assicurati di disabilitare la modalità Debug dopo aver completato le tue attività. Disabilitare la modalità Java Debug aiuterà anche a fermare l'intrusione della minaccia.