Atores de ameaças estão utilizando interfaces Java Debug Wire Protocol (JDWP) expostas para obter capacidades de execução de código e implantar mineradores de criptomoedas em hosts comprometidos.
"O atacante usou uma versão modificada do XMRig com uma configuração "hard-coded", permitindo evitar argumentos de linha de comando suspeitos que são frequentemente sinalizados por defensores", disseram os pesquisadores da Wiz, Yaara Shriki e Gili Tikochinski, em um relatório publicado esta semana.
O payload usava proxies de mining pool para esconder o endereço da carteira de criptomoedas, impedindo que os investigadores pudessem seguir o rastro.
A empresa de segurança em nuvem, que está sendo adquirida pelo Google Cloud, disse ter observado a atividade contra seus servidores honeypot executando o TeamCity, uma ferramenta popular de integração contínua e entrega contínua (CI/CD).
JDWP é um protocolo de comunicação usado em Java para propósitos de depuração.
Com o JDWP, os usuários podem usar um debugger para trabalhar em um processo diferente, uma aplicação Java, no mesmo computador, ou em um computador remoto.
No entanto, dado que o JDWP carece de mecanismos de autenticação ou controle de acesso, expor o serviço na internet pode abrir um novo vetor de ataque que os invasores podem abusar como um ponto de entrada, permitindo o controle total sobre o processo Java em execução.
Simplificando, a má configuração pode ser utilizada para injetar e executar comandos arbitrários a fim de estabelecer persistência e, finalmente, executar payloads maliciosos.
"Embora o JDWP não seja habilitado por padrão na maioria das aplicações Java, ele é comumente usado em ambientes de desenvolvimento e depuração", disse a Wiz.
Muitas aplicações populares automaticamente iniciam um servidor JDWP quando executadas em modo de depuração, muitas vezes sem tornar os riscos óbvios para o desenvolvedor.
Se não for devidamente assegurado ou deixado exposto, isso pode abrir a porta para vulnerabilidades de execução remota de código (RCE).
Algumas das aplicações que podem iniciar um servidor JDWP quando em modo de depuração incluem TeamCity, Jenkins, Selenium Grid, Elasticsearch, Quarkus, Spring Boot e Apache Tomcat.
Dados da GreyNoise mostram mais de 2.600 endereços IP buscando endpoints JDWP nas últimas 24 horas, dos quais mais de 1.500 endereços IP são maliciosos e 1.100 endereços IP são classificados como suspeitos.
A grande maioria desses endereços IP tem origem na China, Estados Unidos, Alemanha, Cingapura e Hong Kong.
Nos ataques observados pela Wiz, os atores de ameaças aproveitam o fato de que a Máquina Virtual Java (JVM) espera por conexões de debugger na porta 5005 para iniciar a varredura por portas JDWP abertas na internet.
Na próxima fase, uma solicitação de JDWP-Handshake é enviada para confirmar se a interface está ativa e estabelecer uma sessão JDWP.
Uma vez confirmado que o serviço está exposto e interativo, os invasores avançam para executar um comando curl para buscar e executar um script shell dropper que realiza uma série de ações:
Matar mineiros concorrentes ou quaisquer processos de alto CPU
Inserir uma versão modificada do minerador XMRig para a arquitetura do sistema apropriada de um servidor externo ("awarmcorner[.]world") em "~/.config/logrotate"
Estabelecer persistência configurando cron jobs para garantir que o payload seja buscado e reexecutado após cada login no shell, reinicialização ou em um intervalo de tempo programado
Apagar-se ao sair
"Sendo de código aberto, o XMRig oferece aos atacantes a conveniência de fácil customização, que neste caso envolveu a remoção de toda a lógica de análise de linha de comando e a codificação da configuração", disse a Wiz.
Esta alteração não apenas simplifica a implantação, mas também permite que o payload imite o processo original logrotate de forma mais convincente.
Surgimento da Botnet Hpingbot
A divulgação ocorre enquanto a NSFOCUS detalhava um novo malware baseado em Go, chamado Hpingbot, capaz de mirar sistemas Windows e Linux para recrutá-los para uma botnet que pode lançar ataques de negação de serviço distribuído (DDoS) usando hping3, uma utilidade disponível gratuitamente para criar e enviar pacotes ICMP/TCP/UDP personalizados.
Um aspecto notável do malware é que, ao contrário de outros trojans tipicamente derivados de famílias de malware botnet conhecidas como Mirai e Gafgyt, o Hpingbot é uma nova cepa.
Ao menos desde 17 de junho de 2025, algumas centenas de instruções de DDoS foram emitidas, tendo a Alemanha, Estados Unidos e Turquia como principais alvos.
"Esta é uma nova família de botnet construída do zero, mostrando fortes capacidades de inovação e eficiência no uso de recursos existentes, como distribuir payloads através da plataforma online de armazenamento e compartilhamento de texto Pastebin e lançar ataques DDoS usando a ferramenta de teste de rede hping3, o que não apenas melhora a discrição, mas também reduz significativamente os custos de desenvolvimento e operação", disse a empresa chinesa de cibersegurança.
Hpingbot aproveita-se principalmente de configurações fracas de SSH, propagadas por meio de um módulo independente que realiza ataques de password spraying para obter acesso inicial aos sistemas.
A presença de comentários de depuração em alemão no código-fonte provavelmente indica que a versão mais recente pode estar em teste.
A cadeia de ataque, em resumo, envolve o uso do Pastebin como um resolver dead drop para apontar para um endereço IP ("128.0.118[.]18") que, por sua vez, é usado para baixar um script shell.
O script é então usado para detectar a arquitetura de CPU do host infectado, terminar uma versão já em execução do trojan e recuperar o payload principal responsável por iniciar ataques de inundação DDoS over TCP e UDP.
Hpingbot também é projetado para estabelecer persistência e esconder rastros de infecção limpando o histórico de comandos.
Em uma reviravolta interessante, os atacantes foram observados usando nós controlados pelo Hpingbot para entregar outro componente de DDoS baseado em Go a partir de 19 de junho que, apesar de confiar no mesmo servidor de comando e controle (C2), evita chamadas ao Pastebin e hping3 para funções de ataque de inundação embutidas com base nos protocolos UDP e TCP.
Outro aspecto digno de nota é que, embora a versão Windows não possa usar hping3 para lançar ataques DDoS devido ao fato de que a ferramenta é instalada usando o comando Linux "apt -y install", a capacidade do malware de soltar e executar payloads úteis adicionais sugere a possibilidade de que os atores de ameaças pretendam ir além da interrupção do serviço para transformá-lo em uma rede de distribuição de payloads.
"Vale ressaltar que a versão Windows do Hpingbot não pode chamar diretamente hping3 para lançar ataques DDoS, mas sua atividade é igualmente frequente, indicando que os atacantes não estão focando apenas no lançamento de DDoS, mas provavelmente estão mais interessados em sua função de baixar e executar payloads arbitrários."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...