Los actores de amenaza están armando interfaces de protocolo de cable de depuración Java expuesto (JDWP) para obtener capacidades de ejecución de código e implementar mineros de criptomonedas en hosts comprometidos. «El atacante utilizó una versión modificada de XMRIG con una configuración codificada», lo que les permite evitar argumentos sospechosos de línea de comandos que a menudo son marcados por los defensores «, dijeron los investigadores de Wiz Yaara Shriki y Gili Tikochinski en un informe publicado esta semana». La carga de pago utilizada minera de la agrupación de los pisos para ocultar su dirección de Wallingrence Walling, allí, evitando a los inversionistas de los inversionistas de los inversionistas. Firma, que está siendo adquirido por Google Cloud, dijo que la actividad contra sus servidores Honeypot que ejecuta TeamCity, una popular integración continua y una herramienta de entrega continua (CI/CD) es un protocolo de comunicación utilizado en Java para la depuración de JAVA, o no con la misma computadora. La autenticación o los mecanismos de control de acceso, exponiendo el servicio a Internet, puede abrir un nuevo vector de ataque que los atacantes pueden abusar como un punto de entrada, habilitando el control total sobre el proceso de Java en ejecución, la configuración errónea puede ser utilizada para inyectar y ejecutar comandos arbitrarios para configurar la persistencia. Utilizado en entornos de desarrollo y depuración «, dijo Wiz.» Muchas aplicaciones populares inician automáticamente un servidor JDWP cuando se ejecutan en modo de depuración, a menudo sin hacer que los riesgos sean obvios para el desarrollador. Si se asegura de manera incorrecta o expuesta, esto puede abrir la puerta a las vulnerabilidades de ejecución de código remoto (RCE). «Algunas de las aplicaciones que pueden iniciar un servidor JDWP cuando en el modo de depuración incluyen TeamCity, Jenkins, Selenium Grid, Elasticsearch, Quarkus, Boot y Apache TomCat. Los datos de Greynois muestran más de 2,600 Direcciones de escaneo de JDWP de Springpputs, las últimas 24 horas de escaneo JDWP de las 24 horas de escaneo JDWP, las últimas 24 horas, las siguientes 24 horas, las siguientes 24 horas, las 24 horas, las 24 horas, las 24 horas, las 24 horas, las 24 horas, los datos de las 24 horas, las 24 horas, las 24 horas, los datos de las 24 horas de escaneo JDWP de las 24 horas, los datos de las 24 horas de escaneo de las 24 horas de escaneo JDWP de las 24 horas de escaneo JDWP de las medidas. De los cuales más de 1,500 direcciones IP son maliciosas y las 1,100 direcciones IP se clasifican como sospechosas. En Internet. servidor externo («asqueroso[.]mundo «) en» ~/.config/logrotate «establecer persistencia estableciendo trabajos cron para garantizar que la carga útil se vuelva a buscar y se vuelva a ejecutarse después de cada inicio de sesión de shell, reiniciar o un intervalo de tiempo programado que se elimina a sí mismo en la salida», de origen abierto, XMRIG ofrece los atacantes la personalización fácil de la personalización fácil, que en este caso involucra todo el comando de la línea de los comandos y la configuración de la configuración de la configuración de la lógica hard. «Este ajuste no solo simplifica la implementación, sino que también permite que la carga útil imite el proceso de logrotado original de manera más convincente». HPing3, una utilidad disponible libremente para la elaboración y el envío de paquetes ICMP/TCP/UDP personalizados. Turquía es el principal objetivo. propagado por un módulo independiente que lleva a cabo ataques de pulverización de contraseña para obtener acceso inicial a los sistemas.[.]18 «) que, a su vez, se emplea para descargar un script de shell. El script se utiliza para detectar la arquitectura de la CPU del host infectado, terminar una versión ya en ejecución del troyano y recuperar la carga útil principal que es responsable de iniciar ataques de inundación DDoS sobre TCP y UDP. HPingBot también está diseñado para establecer la persistencia y cubrir las transacciones de la infección por la infección por el historial de comando. Los nodos controlados por HPingBot para entregar otro componente DDOS basado en GO hasta el 19 de junio que, mientras confían en el mismo Sever de comando y control (C2), evita que PasteBin y Hping3 llamen a las funciones de inundación incorporadas basadas en los protocolos de UDP y TCP que vale la pena mencionar el hecho de que la versión de Windows no puede usar HPing3 para lanzar los ataques DDOS debido a la de hecho. «APT -Y Install», la capacidad del malware para soltar y ejecutar cargas útiles adicionales sugerencias ante la posibilidad de que los actores de amenaza pretendan ir más allá de la interrupción del servicio para convertirlo en una red de distribución de carga útil «. Vale la pena señalar que la versión de Windows de HPPBOT no puede llamar directamente a HPPing3 a los ataques DDOS, sino que su actividad es tan frecuente. función de descargar y ejecutar cargas útiles arbitrarias «. Encontrado este artículo interesante? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.