البرامج الضارة Hadooken

اكتشف خبراء الأمن السيبراني حملة جديدة للبرمجيات الخبيثة تستهدف أنظمة Linux، وتركز على التعدين غير القانوني للعملات المشفرة ونشر برامج ضارة من نوع botnet. تستهدف هذه الحملة صراحةً خوادم Oracle Weblogic، حيث تقدم نسخة من البرامج الضارة تسمى Hadooken. بمجرد تنفيذها، تقوم Hadooken بتثبيت برنامج Tsunami الخبيث وتشغيل برنامج تعدين العملات المشفرة. يستغل الهجوم نقاط الضعف المعروفة وسوء تكوين النظام، مثل بيانات الاعتماد الضعيفة، للحصول على وصول أولي وتشغيل تعليمات برمجية عشوائية على الحالات المعرضة للخطر.

سلسلة هجمات البرامج الضارة Hadooken

تتضمن هذه الهجمة نشر حمولتين متطابقتين تقريبًا: إحداهما مكتوبة بلغة Python والأخرى كنص برمجي. وكلاهما مسؤول عن جلب البرامج الضارة Hadooken من خوادم بعيدة ('89.185.85.102' أو '185.174.136.204').

بالإضافة إلى ذلك، تقوم نسخة البرنامج النصي shell بفحص الدلائل التي تحتوي على بيانات SSH، مثل بيانات اعتماد المستخدم وتفاصيل المضيف والأسرار، والاستفادة من هذه المعلومات لاستهداف الخوادم المعروفة. ثم تنتقل بشكل جانبي داخل الشبكة أو البيئات المتصلة، مما يؤدي إلى نشر برنامج Hadooken الخبيث على نطاق أوسع.

يتألف Hadooken من مكونين رئيسيين: برنامج تعدين للعملات المشفرة وشبكة روبوتات DDoS تُعرف باسم Tsunami (المعروفة أيضًا باسم Kaiten). يتمتع البرنامج الخبيث بسجل من مهاجمة خدمات Jenkins وWeblogic في مجموعات Kubernetes. كما يضمن البرنامج الخبيث الثبات على المضيف المصاب من خلال إنشاء وظائف cron لتشغيل برنامج تعدين العملات المشفرة على فترات زمنية مختلفة.

لتجنب الاكتشاف، يستخدم Hadooken عدة تكتيكات، بما في ذلك الحمولات المشفرة بتقنية Base64، وإخفاء حمولات التعدين بأسماء غير ضارة مثل "bash" و"java" لتندمج مع العمليات المشروعة، وحذف القطع الأثرية بعد التنفيذ لتغطية أي أثر لنشاطها الضار.

الارتباطات بمجموعات الجرائم الإلكترونية

حدد باحثو الأمن السيبراني عنوان IP 89.185.85.102 على أنه مسجل في ألمانيا لدى شركة الاستضافة Aeza International LTD (AS210644). في فبراير 2024، تم ربط عنوان IP هذا بحملة عملات مشفرة من قبل عصابة 8220، والتي استغلت الثغرات الأمنية في Apache Log4j وAtlassian Confluence Server and Data Center.

أما عنوان IP الثاني، 185.174.136.204، على الرغم من أنه غير نشط حاليًا، فهو مرتبط أيضًا بشركة Aeza Group Ltd. (AS216246). وكما ذكرنا في يوليو 2024، فإن Aeza هي شركة استضافة مضمونة تعمل في موسكو M9 ومركزين للبيانات في فرانكفورت. ويعزى النمو السريع لشركة Aeza ونموذجها التشغيلي إلى توظيفها للمطورين الشباب المرتبطين بخدمات الاستضافة المضمونة الروسية، والتي توفر ملاذات آمنة للأنشطة الإجرامية الإلكترونية.