Киберпреступники активно атакуют незащищенные интерфейсы Java Debug Wire Protocol (JDWP) для удаленного выполнения кода и скрытого майнинга криптовалют. Исследователи Wiz, Яара Шрики и Гили Тикочински, зафиксировали эту активность на серверах TeamCity. JDWP, протокол для отладки Java, лишен аутентификации. Его открытое сетевое размещение дает злоумышленникам полный контроль над процессом Java. Многие популярные приложения, включая Jenkins, Elasticsearch, Spring Boot и Apache Tomcat, автоматически запускают JDWP-сервер в режиме отладки без должных предупреждений.
Анализ GreyNoise за последние 24 часа показал масштаб угрозы: более 2600 IP-адресов сканируют сеть на наличие открытого порта 5005 (стандартный для JDWP). Из них свыше 1500 классифицированы как злонамеренные, а 1100 – как подозрительные. Наибольшая активность исходит из Китая, США, Германии, Сингапура и Гонконга.
Атака начинается с обнаружения уязвимого хоста. После подтверждения активности через JDWP-Handshake злоумышленники выполняют команду
Модифицированный XMRig критичен для успеха атаки. Его конфигурация жестко прописана в коде, что исключает подозрительные аргументы командной строки. Использование прокси пулов майнинга скрывает кошелек злоумышленников. Открытый исходный код XMRig упрощает такую кастомизацию, помогая маскировать майнер под легитимный процесс (например,
Параллельно набирает силу новый ботнет Hpingbot, написанный на Go. Китайская компания NSFOCUS детально описала эту угрозу. В отличие от известных семейств вроде Mirai, Hpingbot – совершенно новый штамм. Он вербует системы Windows и Linux для DDoS-атак, используя утилиту hping3 для генерации кастомных сетевых пакетов. Первоначальный доступ получают через атаки перебором паролей к SSH.
Первые команды на DDoS фиксируются с 17 июня 2025 года, основные цели – Германия, США и Турция. Инновация Hpingbot – использование Pastebin как «мертвой точки» для получения актуального IP-адреса C2 (128.0.118[.]18). Это повышает скрытность и снижает затраты. Скрипт с C2 определяет архитектуру процессора, уничтожает старые экземпляры бота и загружает основной вредоносный модуль. Бот стремится к персистентности и очистке следов.
Новый вариант Hpingbot, появившийся 19 июня 2025, отказался от Pastebin и hping3. Вместо этого он использует встроенные функции для UDP/TCP флуда. Отладочные комментарии на немецком языке в коде указывают на активную стадию тестирования. Особенность Windows-версии – невозможность установить hping3 (она полагается на Linux-команду
Изображение носит иллюстративный характер
Анализ GreyNoise за последние 24 часа показал масштаб угрозы: более 2600 IP-адресов сканируют сеть на наличие открытого порта 5005 (стандартный для JDWP). Из них свыше 1500 классифицированы как злонамеренные, а 1100 – как подозрительные. Наибольшая активность исходит из Китая, США, Германии, Сингапура и Гонконга.
Атака начинается с обнаружения уязвимого хоста. После подтверждения активности через JDWP-Handshake злоумышленники выполняют команду
curl для загрузки и запуска вредоносного скрипта. Этот скрипт устраняет конкурентные процессы майнеров, скачивает модифицированный майнер XMRig с домена "awarmcorner[.]world" в каталог "~/.config/logrotate" и обеспечивает постоянство через задания cron (при входе, перезагрузке, по расписанию). Скрипт самоуничтожается после выполнения. Модифицированный XMRig критичен для успеха атаки. Его конфигурация жестко прописана в коде, что исключает подозрительные аргументы командной строки. Использование прокси пулов майнинга скрывает кошелек злоумышленников. Открытый исходный код XMRig упрощает такую кастомизацию, помогая маскировать майнер под легитимный процесс (например,
logrotate). Параллельно набирает силу новый ботнет Hpingbot, написанный на Go. Китайская компания NSFOCUS детально описала эту угрозу. В отличие от известных семейств вроде Mirai, Hpingbot – совершенно новый штамм. Он вербует системы Windows и Linux для DDoS-атак, используя утилиту hping3 для генерации кастомных сетевых пакетов. Первоначальный доступ получают через атаки перебором паролей к SSH.
Первые команды на DDoS фиксируются с 17 июня 2025 года, основные цели – Германия, США и Турция. Инновация Hpingbot – использование Pastebin как «мертвой точки» для получения актуального IP-адреса C2 (128.0.118[.]18). Это повышает скрытность и снижает затраты. Скрипт с C2 определяет архитектуру процессора, уничтожает старые экземпляры бота и загружает основной вредоносный модуль. Бот стремится к персистентности и очистке следов.
Новый вариант Hpingbot, появившийся 19 июня 2025, отказался от Pastebin и hping3. Вместо этого он использует встроенные функции для UDP/TCP флуда. Отладочные комментарии на немецком языке в коде указывают на активную стадию тестирования. Особенность Windows-версии – невозможность установить hping3 (она полагается на Linux-команду
apt -y install). Несмотря на это, её активность высока, а функционал смещается в сторону загрузки и выполнения произвольных вредоносных нагрузок. Это сигнализирует о трансформации Hpingbot в сеть для распространения вредоносов.
