攻撃者は、公開されたJava Debug Wire Protocol(JDWP)インターフェースを悪用してコード実行権限を取得し、侵害されたホストに仮想通貨マイナーを展開しています。
「攻撃者は、コマンドライン引数による検知を回避するため、設定をハードコーディングした改造版XMRigを使用していました」と、Wizの研究者Yaara Shriki氏とGili Tikochinski氏は今週公開したレポートで述べています。「ペイロードはマイニングプールプロキシを利用して仮想通貨ウォレットアドレスを隠し、調査者がそれを手がかりに追跡するのを防いでいました。」
Google Cloudによる買収が進むクラウドセキュリティ企業Wizは、人気の継続的インテグレーション/継続的デリバリー(CI/CD)ツールであるTeamCityを稼働させた自社のハニーポットサーバーに対する活動を観測したと述べています。
JDWPは、Javaでデバッグ目的で使用される通信プロトコルです。JDWPを利用することで、ユーザーはデバッガを別プロセスやJavaアプリケーション、同一コンピュータ上、またはリモートコンピュータ上で動作させることができます。
しかし、JDWPには認証やアクセス制御の仕組みがないため、サービスをインターネットに公開すると攻撃者が悪用できる新たな攻撃経路となり、実行中のJavaプロセスを完全に制御される恐れがあります。
簡単に言えば、設定ミスを利用して任意コマンドの注入・実行が可能となり、永続化の確立や最終的に悪意あるペイロードの実行が行われます。
「JDWPは多くのJavaアプリケーションでデフォルトでは有効になっていませんが、開発やデバッグ環境では一般的に利用されています」とWizは述べています。「多くの人気アプリケーションはデバッグモードで実行されると自動的にJDWPサーバーを起動しますが、そのリスクが開発者に明示されないことが多いです。不適切に保護されたり公開されたりすると、リモートコード実行(RCE)脆弱性につながる恐れがあります。」
デバッグモードでJDWPサーバーを起動する可能性があるアプリケーションには、TeamCity、Jenkins、Selenium Grid、Elasticsearch、Quarkus、Spring Boot、Apache Tomcatなどがあります。
GreyNoiseのデータによると、過去24時間で2,600以上のIPアドレスがJDWPエンドポイントをスキャンしており、そのうち1,500以上が悪意あるIP、1,100が疑わしいIPと分類されています。これらのIPアドレスの大多数は中国、米国、ドイツ、シンガポール、香港から発信されています。
Wizが観測した攻撃では、攻撃者はJava仮想マシン(JVM)がデバッガ接続のためにポート5005で待ち受けていることを利用し、インターネット上のJDWPポートをスキャンします。次の段階では、JDWP-Handshakeリクエストを送信してインターフェースが有効かどうかを確認し、JDWPセッションを確立します。
サービスが公開されており対話可能であることが確認されると、攻撃者はcurlコマンドを実行してドロッパーシェルスクリプトを取得・実行し、以下の一連の動作を行います:
- 競合するマイナーや高CPUプロセスを終了させる
- 外部サーバー(”awarmcorner[.]world”)から、該当システムアーキテクチャ用に改造したXMRigマイナーを”~/.config/logrotate”にドロップする
- cronジョブを設定し、シェルログイン、再起動、または定期的な間隔でペイロードが再取得・再実行されるよう永続化を確立する
- 終了時に自身を削除する
「XMRigはオープンソースであるため、攻撃者は簡単にカスタマイズできます。今回のケースでは、すべてのコマンドライン解析処理を削除し、設定をハードコーディングしていました」とWizは述べています。「この改変により、展開が簡素化されるだけでなく、ペイロードが本物のlogrotateプロセスをより巧妙に偽装できるようになります。」
新たなHpingbotボットネットが出現#
この発表は、NSFOCUSが新たに登場した急速に進化するGoベースのマルウェア「Hpingbot」について詳述したタイミングで行われました。HpingbotはWindowsとLinuxの両方のシステムを標的とし、hping3という無償のユーティリティを用いてカスタムICMP/TCP/UDPパケットを作成・送信し、分散型サービス拒否(DDoS)攻撃を実行するボットネットに感染機を組み込むことができます。
このマルウェアの注目すべき点は、MiraiやGafgytなど既知のボットネットマルウェアファミリー由来の他のトロイの木馬とは異なり、Hpingbotは完全に新しい系統であることです。少なくとも2025年6月17日以降、数百件のDDoS命令が発行されており、主な標的はドイツ、米国、トルコとなっています。
「これはゼロから構築された新しいボットネットファミリーであり、既存リソースの活用(Pastebinによるペイロード配布やhping3によるDDoS攻撃など)において高い革新性と効率性を示しています。これによりステルス性が向上し、開発・運用コストも大幅に削減されています」と中国のサイバーセキュリティ企業は述べています。
Hpingbotは主に脆弱なSSH設定を悪用し、パスワードスプレー攻撃を行う独立したモジュールによってシステムへの初期アクセスを獲得します。
ソースコード内にドイツ語のデバッグコメントが存在することから、最新版はテスト中である可能性が高いと考えられます。攻撃チェーンの概要としては、Pastebinをデッドドロップリゾルバとして利用し、IPアドレス(”128.0.118[.]18″)を指し示し、そこからシェルスクリプトをダウンロードさせます。
このスクリプトは感染ホストのCPUアーキテクチャを検出し、既に動作中のトロイの木馬を終了させ、DDoSフラッド攻撃(TCP/UDP)を開始するメインペイロードを取得します。Hpingbotはまた、永続化の確立やコマンド履歴の消去による感染痕跡の隠蔽も行います。
興味深いことに、攻撃者は2025年6月19日以降、Hpingbotが制御するノードを利用して、別のGoベースのDDoSコンポーネントを配信していることが観測されています。このコンポーネントは同じコマンド&コントロール(C2)サーバーを利用しつつ、Pastebinやhping3の呼び出しを使わず、UDPおよびTCPプロトコルに基づく組み込みのフラッド攻撃機能を備えています。
もう一つ注目すべき点は、Windows版は「apt -y install」というLinuxコマンドでhping3をインストールするため、DDoS攻撃にhping3を直接利用できませんが、マルウェアが追加ペイロードをドロップ・実行できることから、攻撃者がサービス妨害を超えてペイロード配信ネットワーク化を目論んでいる可能性が示唆されます。
「注目すべきは、HpingbotのWindows版はhping3を直接呼び出してDDoS攻撃を行うことはできませんが、その活動頻度は同様に高く、攻撃者が単にDDoS攻撃だけでなく、任意ペイロードのダウンロード・実行機能により重点を置いている可能性が高いということです。」
翻訳元: https://thehackernews.com/2025/07/alert-exposed-jdwp-interfaces-lead-to.html