Programari maliciós Hadooken

Els experts en ciberseguretat han descobert una nova campanya de programari maliciós dirigida als sistemes Linux, centrada en la mineria il·legal de criptomoneda i la difusió de programari maliciós de botnets. Aquesta campanya s'adreça explícitament als servidors Oracle Weblogic, oferint una variant de programari maliciós anomenada Hadooken. Un cop executat, Hadooken instal·la el programari maliciós Tsunami i llança un cripto miner. L'atac aprofita vulnerabilitats conegudes i configuracions incorrectes del sistema, com ara credencials febles, per obtenir accés inicial i executar codi arbitrari en instàncies vulnerables.

La cadena d'atac del programari maliciós Hadooken

Aquest atac implica desplegar dues càrregues útils gairebé idèntiques: una escrita en Python i l'altra com a script d'intèrpret d'ordres. Tots dos són els responsables d'obtenir el programari maliciós Hadooken des de servidors remots ('89.185.85.102' o '185.174.136.204').

La versió de l'script d'intèrpret d'ordres analitza, a més, directoris que contenen dades SSH, com ara credencials d'usuari, detalls de l'amfitrió i secrets, aprofitant aquesta informació per orientar els servidors coneguts. A continuació, es mou lateralment dins de la xarxa o dels entorns connectats, estenent encara més el programari maliciós Hadooken.

Hadooken consta de dos components principals: un miner de criptomoneda i una botnet de denegació de servei distribuïda (DDoS) coneguda com a Tsunami (també conegut com Kaiten). El programari maliciós té un historial d'atacs als serveis de Jenkins i Weblogic als clústers de Kubernetes. El programari maliciós també garanteix la persistència a l'amfitrió infectat mitjançant la creació de treballs cron per executar el cripto miner a intervals diferents.

Per evitar la detecció, Hadooken utilitza diverses tàctiques, incloses les càrregues útils codificades en Base64, disfressar les càrregues útils dels miners amb noms innòcus com "bash" i "java" per integrar-se amb processos legítims i suprimir artefactes després de l'execució per cobrir qualsevol rastre de la seva activitat nociva.

Connexions amb grups de cibercrim

Els investigadors de ciberseguretat han identificat l'adreça IP 89.185.85.102 com a registrada a Alemanya sota l'empresa d'allotjament Aeza International LTD (AS210644). El febrer de 2024, la 8220 Gang va vincular aquesta IP a una campanya de criptomoneda, que va explotar les vulnerabilitats d'Apache Log4j i d'Atlassian Confluence Server i Data Center.

La segona adreça IP, 185.174.136.204, encara que actualment inactiva, també està associada amb Aeza Group Ltd. (AS216246). Tal com es va assenyalar el juliol de 2024, Aeza és un proveïdor d'allotjament a prova de bales amb operacions a Moscou M9 i dos centres de dades a Frankfurt. El ràpid creixement i el model operatiu d'Aeza s'atribueixen a la seva contractació de desenvolupadors joves connectats a serveis d'allotjament a prova de bales russos, que ofereixen refugis segurs per a activitats cibercriminals.