Троян для майнинга JDWPMiner

Троян JDWPMiner Mining - это вредоносная программа, обнаруженная исследователями информационной безопасности. Это конкретное вредоносное ПО является частью угрожающей атаки, нацеленной на установку с использованием JDWP (Java Debug Wire Protocol). JDWP - это протокол, используемый для связи между отладчиком и виртуальной машиной Java, которую он отлаживает. Злоумышленники используют уязвимость RCE (удаленное выполнение кода) для доставки трояна-майнера вместе с установлением контроля над скомпрометированной системой.

Цепочка атак

Поскольку Java является неотъемлемой частью разработки всех приложений, любые обнаруженные уязвимости могут позволить злоумышленникам заразить значительное количество потенциальных жертв. В случае JDWPMiner злоумышленник ищет установку, в которой удаленная отладка не была закрыта. Киберпреступники используют Java Debug RCE для получения незаконного доступа, а затем для доставки двоичных файлов для майнинга. Полезные данные извлекаются из небезопасного источника и используются для установления операции майнинга. Впоследствии ресурсы системы, в основном ЦП, будут направлены на майнинг конкретной криптовалюты. Естественно, это оставит меньше ресурсов для обычных операций, выполняемых на зараженных устройствах, что приведет к снижению производительности и потенциальным потерям.

Кроме того, угроза добавляет ключ к authorized_key, что позволяет установить удаленный доступ. Затем он выполняет четыре различных метода для восстановления оболочки и достижения полного контроля над хостом. В этом случае жертвы могут пострадать от утечки данных, потери данных или других негативных последствий в зависимости от гнусных намерений злоумышленников. Угроза также оснащена несколькими методами сохранения. Он использует crontab, cron.d и rc.local для создания запланированных задач или заданий.

Смягчение

Чтобы предотвратить проникновение трояна JDWPMiner в вашу систему, вы можете предпринять несколько простых в реализации мер предосторожности. Сначала закройте порт JDWP или подумайте об отключении его из Интернета. Если вы выполняете отладку в промежуточной среде, убедитесь, что вы отключили режим отладки после выполнения ваших задач. Отключение режима отладки Java также поможет остановить проникновение угрозы.