Los actores de amenaza arman las interfaces del Protocolo de alambre de depuración Java (JDWP) expuesto para obtener capacidades de ejecución de código e implementar mineros de criptomonedas a hosts comprometidos.
«Los atacantes pueden usar versiones modificadas de XMRIG en configuraciones codificadas» para evitar argumentos sospechosos de línea de comandos que a menudo son marcados por los defensores «, dijeron los investigadores de Wiz Yaara Shriki y Gili Tikochinski en un informe publicado esta semana.
La compañía de seguridad en la nube, adquirida por Google Cloud, dijo que ha observado actividad contra los servidores Honeypot que ejecuta TeamCity, así como los servidores Honeypot que ejecutan herramientas populares de integración continua y entrega continua (CI/CD).
JDWP es un protocolo de comunicación utilizado en Java para fines de depuración. JDWP permite a los usuarios aprovechar el depurador para trabajar en la misma computadora o en una computadora remota, en un proceso diferente, aplicación Java o una computadora remota.
Sin embargo, dado que JDWP no tiene una autenticación o un mecanismo de control de acceso, exponer los servicios a Internet abre nuevos vectores de ataque que los atacantes pueden explotar como puntos de entrada, dándoles un control total sobre los procesos de Java en ejecución.
En pocas palabras, se pueden usar conceptos erróneos para inyectar y ejecutar cualquier comando para establecer persistencia y, en última instancia, ejecutar una carga útil maliciosa.
«En la mayoría de las aplicaciones Java, JDWP no está habilitado de forma predeterminada, pero se usa comúnmente en entornos de desarrollo y depuración», dice Wiz. «Muchas aplicaciones populares inician automáticamente un servidor JDWP cuando se ejecuta en modo de depuración. En muchos casos, si está expuesto de manera inapropiada a las vulnerabilidades de ejecución de código remoto (RCE), sin revelar el riesgo para el desarrollador».
Algunas de las aplicaciones que pueden iniciar un servidor JDWP en modo de depuración incluyen TeamCity, Jenkins, Selenium Grid, Elasticsearch, Quarkus, Spring Boot y Apache Tomcat.
Los datos de Greynoise muestran más de 2.600 direcciones IP que escanean los puntos finales JDWP en las últimas 24 horas, de las cuales más de 1,500 direcciones IP se clasifican como maliciosas y 1.100 direcciones IP se clasifican como sospechosas. La mayoría de estas direcciones IP provienen de China, Estados Unidos, Alemania, Singapur y Hong Kong.
En los ataques observados por Wiz, los actores de amenaza aprovechan el hecho de que la máquina virtual Java (JVM) está escuchando una conexión de depuración en el puerto 5005 y comienza a escanear puertos JDWP en Internet. En la siguiente fase, se envía una solicitud de apretón de manos JDWP para verificar si la interfaz está activa y establecer una sesión JDWP.
Una vez que el servicio se expone y confirma que es interactivo, el atacante ejecuta un comando curl y se mueve para obtener y ejecutar un script de shell dropper que realiza un conjunto de acciones,
Drop Versiones modificadas de XMRIG Miner para la arquitectura del sistema adecuada de un servidor externo («Atarmcorner (.) Mundo») que mata a mineros en conflicto o cualquier procesamiento de CPU alto.
«Open Source XMRIG ofrece la conveniencia de personalizaciones simples para atacantes, lo que implicó eliminar toda la lógica de análisis de la línea de comando y codificar la configuración», dijo Wiz. «Este ajuste no solo simplifica la implementación, sino que también permite que la carga útil imite el proceso de logotación original más persuasivo».
Aparece una nueva botnet Hppbot
NSFOCUS revelará en detalle el nuevo malware basado en GO en rápida evolución llamado Hingbot, que se dirige a los sistemas Windows y Linux, y como se pueden implementar en botnets que pueden lanzar ataques distribuidos (DDoS) utilizando HPing3, HPing3 para elaborar FreelAbailable para la elaboración de la creación.
Un aspecto notable del malware es que, a diferencia de otros troyanos que generalmente se derivan de familias de malware de botnet conocidas como Mirai y Gafgyt, Hpingbot es un stock completamente nuevo. Desde al menos el 17 de junio de 2025, se han emitido cientos de instrucciones de DDoS, con Alemania, Estados Unidos y Turquía son sus principales objetivos.
«Esta es una nueva familia de botnets construidos desde cero, que demuestra potentes capacidades de innovación y eficiencia cuando se utiliza los recursos existentes, como distribuir cargas a través del almacenamiento de texto en línea y la plataforma compartida Pastebin, o el lanzamiento de los ataques DDoS utilizando la herramienta de prueba de red HPing3.
HPingBot utiliza principalmente una configuración SSH débil propagada por módulos independientes que realizan ataques con contraseña para obtener acceso inicial al sistema.
La presencia de comentarios de depuración alemanes en el código fuente puede indicar que la última versión puede estar bajo prueba. En pocas palabras, la cadena de ataque implica usar el Pastevin como un resolución de muertos para señalar la dirección IP («128.0.118 (.) 18»). Esto se usa para descargar scripts de shell.
Este script se utiliza para detectar la arquitectura de la CPU del host infectado, terminar la versión ya en funcionamiento del caballo troyano y obtener la carga útil principal responsable de iniciar un ataque de inundación DDoS a través de TCP y UDP. Hpingbot está diseñado para establecer la persistencia y los rastros de infección al limpiar el historial de comando.
En un giro interesante, se ha observado que el atacante proporciona otro componente DDOS basado en GO usando un nodo controlado por HPingBot. Esto llama a la funcionalidad de ataque de inundación incorporada basada en los protocolos UDP y TCP que usan pastebin y HPIGS3 mientras dependen del mismo comando y control (C2) sever.
Otro aspecto que vale la pena mencionar es que, si bien la versión de Windows no puede iniciar un ataque DDoS usando HPing3, la herramienta está instalada utilizando el comando Linux «APT -Y Install», la capacidad del malware para abandonar y ejecutar cargas útiles adicionales sugiere que los actores de amenaza podrían convertirse en una red disruptiva de servicios.
«Vale la pena señalar que la versión de Windows de HPingbot no puede llamar directamente a HPing3 para lanzar un ataque DDoS, pero su actividad es frecuente, lo que indica que los atacantes tienen más probabilidades de enfocarse no solo en el lanzamiento de DDoS, sino también en la capacidad de descargar y ejecutar cargas útiles arbitrarias».
Source link
