Hadooken malware

Odborníci na kybernetickou bezpečnost objevili novou malwarovou kampaň zaměřenou na linuxové systémy, která se zaměřuje na nelegální těžbu kryptoměn a šíření malwaru botnetů. Tato kampaň se výslovně zaměřuje na servery Oracle Weblogic a přináší variantu malwaru s názvem Hadooken. Po spuštění Hadooken nainstaluje malware Tsunami a spustí těžař kryptoměn. Útok využívá známé zranitelnosti a chybné konfigurace systému, jako jsou slabé přihlašovací údaje, k získání počátečního přístupu a spuštění libovolného kódu na zranitelných instancích.

Útočný řetězec hadookenského malwaru

Tento útok zahrnuje nasazení dvou téměř identických užitečných zatížení: jeden napsaný v Pythonu a druhý jako skript shellu. Oba jsou zodpovědní za načítání malwaru Hadooken ze vzdálených serverů ('89.185.85.102' nebo '185.174.136.204').

Verze skriptu shellu navíc skenuje adresáře obsahující data SSH, jako jsou přihlašovací údaje uživatele, podrobnosti o hostiteli a tajemství, a využívá tyto informace k cílení na známé servery. Poté se pohybuje laterálně v rámci sítě nebo připojených prostředí a šíří malware Hadooken dále.

Hadooken se skládá ze dvou hlavních součástí: těžař kryptoměn a botnet DDoS (Distributed Denial-of-Service) známý jako Tsunami (aka Kaiten). Malware v minulosti útočil na služby Jenkins a Weblogic v clusterech Kubernetes. Malware také zajišťuje perzistenci na infikovaném hostiteli tím, že vytváří úlohy cron pro spouštění kryptotěžiče v různých intervalech.

Aby se Hadooken vyhnul detekci, používá několik taktik, včetně užitečného zatížení zakódovaného v Base64, maskování užitečného zatížení těžařů neškodnými názvy jako „bash“ a „java“, aby splynul s legitimními procesy, a mazání artefaktů po provedení, aby byly zakryty veškeré stopy jeho škodlivé činnosti.

Spojení se skupinami pro počítačovou kriminalitu

Výzkumníci v oblasti kybernetické bezpečnosti identifikovali IP adresu 89.185.85.102 jako adresu registrovanou v Německu pod hostitelskou společností Aeza International LTD (AS210644). V únoru 2024 byla tato IP propojena s kryptoměnovou kampaní skupiny 8220 Gang, která zneužila zranitelnosti v Apache Log4j a Atlassian Confluence Server a Data Center.

Druhá IP adresa, 185.174.136.204, i když je momentálně neaktivní, je také spojena s Aeza Group Ltd. (AS216246). Jak bylo uvedeno v červenci 2024, Aeza je neprůstřelný poskytovatel hostingu s provozem v Moskvě M9 a dvěma datovými centry ve Frankfurtu. Rychlý růst a provozní model společnosti Aeza se připisuje náboru mladých vývojářů napojených na ruské neprůstřelné hostingové služby, které poskytují bezpečné útočiště pro kyberzločinecké aktivity.