Зловреден софтуер Hadooken

Експерти по киберсигурност откриха нова кампания за злонамерен софтуер, насочена към Linux системи, фокусирана върху нелегално копаене на криптовалута и разпространение на зловреден софтуер в ботнет. Тази кампания изрично е насочена към сървърите на Oracle Weblogic, доставяйки вариант на зловреден софтуер, наречен Hadooken. Веднъж изпълнен, Hadooken инсталира зловредния софтуер Tsunami и стартира крипто копач. Атаката експлоатира добре известни уязвимости и системни неправилни конфигурации, като слаби идентификационни данни, за да получи първоначален достъп и да изпълни произволен код на уязвими екземпляри.

Веригата от атаки на зловредния софтуер Hadooken

Тази атака включва внедряване на два почти идентични полезни натоварвания: единият е написан на Python, а другият като скрипт на обвивка. И двете са отговорни за извличането на зловреден софтуер Hadooken от отдалечени сървъри („89.185.85.102“ или „185.174.136.204“).

Версията на скрипта на обвивката допълнително сканира директории, съдържащи SSH данни, като потребителски идентификационни данни, подробности за хоста и тайни, като използва тази информация за насочване към известни сървъри. След това се движи странично в мрежата или свързаните среди, разпространявайки злонамерения софтуер Hadooken допълнително.

Hadooken се състои от два основни компонента: копач на криптовалута и ботнет за разпределен отказ от обслужване (DDoS), известен като Tsunami (известен още като Kaiten). Зловреден софтуер има история на атаки на Jenkins и Weblogic услуги в Kubernetes клъстери. Злонамереният софтуер също така осигурява устойчивост на заразения хост чрез създаване на cron задачи за стартиране на крипто копача на различни интервали.

За да избегне откриването, Hadooken използва няколко тактики, включително Base64-кодирани полезни натоварвания, прикриване на полезни натоварвания на миньори с безобидни имена като „bash“ и „java“, за да се слеят с легитимни процеси, и изтриване на артефакти след изпълнение, за да покрие всякакви следи от неговата вредна дейност.

Връзки с киберпрестъпни групи

Изследователите на киберсигурността са идентифицирали IP адрес 89.185.85.102 като регистриран в Германия под хостинг компанията Aeza International LTD (AS210644). През февруари 2024 г. този IP беше свързан с кампания за криптовалута от 8220 Gang, която използва уязвимости в Apache Log4j и Atlassian Confluence Server and Data Center.

Вторият IP адрес, 185.174.136.204, въпреки че в момента е неактивен, също е свързан с Aeza Group Ltd. (AS216246). Както беше отбелязано през юли 2024 г., Aeza е брониран хостинг доставчик с операции в Москва M9 и два центъра за данни във Франкфурт. Бързият растеж и оперативен модел на Aeza се дължат на набирането на млади разработчици, свързани с руски бронирани хостинг услуги, които осигуряват сигурни убежища за киберпрестъпни дейности.