Dreigingsactoren zijn bewapening blootgesteld Java Debug Wire Protocol (JDWP) interfaces om code -uitvoeringsmogelijkheden te verkrijgen en cryptocurrency -mijnwerkers op gecompromitteerde hosts te implementeren.
“De aanvaller gebruikte een gewijzigde versie van XMRIG met een harde” gecodeerde configuratie, waardoor ze verdachte command-line argumenten konden vermijden die vaak worden gemarkeerd door verdedigers, “WIZ-onderzoekers Yaara Shriki en Gili Tikochinski zei in een rapport dat deze week werd gepubliceerd.” De payload poolpools voor het verbergen van hun cryptocurrency-wandelpools. “
Het cloudbeveiligingsbedrijf, dat wordt overgenomen door Google Cloud, zei dat het de activiteit heeft waargenomen tegen zijn Honeypot -servers met TeamCity, een populaire continue integratie en continue levering (CI/CD) tool.
JDWP is een communicatieprotocol dat in Java wordt gebruikt voor foutopsporing. Met JDWP kunnen gebruikers een debugger gebruiken om in een ander proces, een Java -applicatie, op dezelfde computer of op een externe computer te werken.
Maar gezien het feit dat JDWP geen authenticatie- of toegangscontrolemechanismen mist, kan het blootleggen van de service aan internet een nieuwe aanvalsvector openen die aanvallers kunnen misbruiken als een toegangspunt, waardoor volledige controle over het lopende Java -proces mogelijk wordt.
Simpel gezegd, de verkeerde configuratie kan worden gebruikt om willekeurige opdrachten te injecteren en uit te voeren om persistentie op te zetten en uiteindelijk kwaadaardige payloads uit te voeren.
“Hoewel JDWP niet standaard is ingeschakeld in de meeste Java -applicaties, wordt het vaak gebruikt in ontwikkelings- en foutopsporingsomgevingen,” zei Wiz. “Veel populaire applicaties starten automatisch een JDWP -server wanneer ze worden uitgevoerd in de foutopsporingsmodus, vaak zonder de risico’s duidelijk te maken voor de ontwikkelaar. Indien onjuist beveiligd of blootgelegd, kan dit de deur openen voor kwetsbaarheden voor externe code -uitvoering (RCE).”
Sommige van de applicaties die een JDWP -server kunnen starten wanneer in de foutopsporingsmodus TeamCity, Jenkins, Selenium Grid, Elasticsearch, Quarkus, Spring Boot en Apache Tomcat omvat.
Gegevens van Greynoise tonen meer dan 2.600 IP -adressen die scannen op JDWP -eindpunten binnen de afgelopen 24 uur, waaruit meer dan 1500 IP -adressen kwaadaardig zijn en 1.100 IP -adressen worden geclassificeerd als verdacht. De overgrote meerderheid van deze IP -adressen zijn afkomstig van China, de Verenigde Staten, Duitsland, Singapore en Hong Kong.
In de aanvallen van WIZ maken bedreigingsacteurs gebruik van het feit dat de Java Virtual Machine (JVM) luistert naar debuggerverbindingen op poort 5005 om scannen op open JDWP -poorten op internet te starten. In de volgende fase wordt een JDWP-Handshake-verzoek verzonden om te bevestigen of de interface actief is en een JDWP-sessie op te zetten.
Zodra het is bevestigd dat de service is blootgesteld en interactief, gaan de aanvallers een curl -opdracht uit om een druppel shell -script op te halen en uit te voeren dat een reeks acties uitvoert –
- Dood concurrerende mijnwerkers of hoge CPU -processen
- Laat een gewijzigde versie van XMRIG -mijnwerker vallen voor de juiste systeemarchitectuur van een externe server (“AwarmCorner (.) World”) in “~/.config/logrotate”
- Stel persistentie vast door Cron-taken in te stellen om ervoor te zorgen dat de payload opnieuw wordt opgezocht en opnieuw wordt uitgevoerd na elke shell-inloggen, opnieuw opstarten of een gepland tijdsinterval
- Verwijder zichzelf op exit
“Als open-source biedt Xmrig aanvallers het gemak van eenvoudige aanpassing, wat in dit geval alle opdrachtregel-line-logica had gestript en de configuratie hardcodes had,” zei Wiz. “Deze tweak vereenvoudigt niet alleen de implementatie, maar maakt het ook de payload mogelijk om het oorspronkelijke logrotaatproces overtuigender na te bootsen.”
Nieuw hpingbot botnet komt naar voren
De openbaarmaking wordt geleverd als NSFOCUS een nieuwe, snel evoluerende GO-gebaseerde malware met de naam HpingBot beschrijft die in staat is om zowel Windows- als Linux-systemen te richten om ze in te schakelen in een BOTNet dat gedistribueerde Denial-of-Service (DDOS) -aanvallen (DDO’s) kan lanceren met behulp van HPING3, een vrij verkrijgbare hulpprogramma’s voor het maken van aangepaste ICMP/UDP-pakketten.
Een opmerkelijk aspect van de malware is dat in tegenstelling tot andere Trojaanse paarden die meestal zijn afgeleid van bekende Botnet -malwarefamilies zoals Mirai en Gafgyt, Hpingbot een geheel nieuwe stam is. Tenminste sinds 17 juni 2025 zijn er een paar honderd DDOS -instructies uitgegeven, waarbij Duitsland, de Verenigde Staten en Turkije de belangrijkste doelen zijn.
“Dit is een nieuwe Botnet -familie die helemaal opnieuw is opgebouwd, die sterke innovatiemogelijkheden en efficiëntie toont bij het gebruik van bestaande bronnen, zoals het distribueren van belastingen via de online tekstopslag- en deelplatform Pastebin en het lanceren van DDOS -aanvallen met behulp van de netwerktesttool HPING3, die niet alleen de stealth verbetert, maar ook aanzienlijk de ontwikkelings- en bedrijfskosten vermindert,” zei het Chinese cybersecurity.
Hpingbot maakt voornamelijk gebruik van zwakke SSH -configuraties, vermeerderd door middel van een onafhankelijke module die aanvallen van wachtwoorden uitvoert om initiële toegang tot systemen te verkrijgen.
De aanwezigheid van Duitse foutopsporingscommentaren in de broncode geeft waarschijnlijk aan dat de nieuwste versie mogelijk wordt getest. De aanvalsketen, in een notendop, omvat het gebruik van Pastebin als een dode drop -resolver om te wijzen op een IP -adres (“128.0.118 (.) 18”) dat op zijn beurt wordt gebruikt om een shell -script te downloaden.
Het script wordt vervolgens gebruikt om de CPU -architectuur van de geïnfecteerde host te detecteren, een reeds lopende versie van de Trojan te beëindigen en de belangrijkste lading op te halen die verantwoordelijk is voor het initiëren van DDOS -overstromingsaanvallen via TCP en UDP. Hpingbot is ook ontworpen om persistentie vast te stellen en sporen van infectie te verbergen door de commandogeschiedenis te wissen.
In een interessante wending zijn aanvallers waargenomen met behulp van knooppunten die door HpingBot worden bestuurd om een andere GO-gebaseerde DDOS-component te leveren vanaf 19 juni die, terwijl ze vertrouwen op dezelfde commando-en-controle (C2) Sever, Eschews Pastebin en HPING3-oproepen voor ingebouwde overstromingsaanvalfuncties op basis van UDP- en TCP-protocols.
Een ander aspect dat het vermelden waard is, is dat hoewel de Windows -versie HPING3 niet kan gebruiken om DDoS -aanvallen te starten vanwege het feit dat de tool is geïnstalleerd met behulp van de Linux -opdracht “Apt -y Install”, de mogelijkheid van de malware om extra payloads te laten vallen en uit te voeren op de mogelijkheid dat de dreigingsactoren van plan zijn om verder te gaan dan de servicedisruptie om een payload distributienetwerk te veranderen in een payload -distributienetwerk.
“Het is vermeldenswaard dat de Windows -versie van HPINGBOT niet rechtstreeks HPING3 kan bellen om DDOS -aanvallen te lanceren, maar de activiteit is net zo frequent, wat aangeeft dat aanvallers niet alleen gericht zijn op het lanceren van DDO’s, maar zich eerder hebben gericht op de functie van het downloaden en uitvoeren van willekeurige ladingen.”
