Hadooken Malware

Cybersikkerhedseksperter har opdaget en ny malware-kampagne rettet mod Linux-systemer, der fokuserer på ulovlig cryptocurrency-mining og spredning af botnet-malware. Denne kampagne er eksplicit rettet mod Oracle Weblogic-serverne og leverer en malware-variant ved navn Hadooken. Når den er henrettet, installerer Hadooken Tsunami- malwaren og starter en kryptominer. Angrebet udnytter velkendte sårbarheder og systemfejlkonfigurationer, såsom svage legitimationsoplysninger, for at få indledende adgang og køre vilkårlig kode på sårbare tilfælde.

Angrebskæden af Hadooken Malware

Dette angreb involverer implementering af to næsten identiske nyttelaster: den ene skrevet i Python og den anden som et shell-script. Begge er ansvarlige for at hente Hadooken malware fra fjernservere ('89.185.85.102' eller '185.174.136.204').

Shell-scriptversionen scanner desuden mapper, der indeholder SSH-data, såsom brugerlegitimationsoplysninger, værtsdetaljer og hemmeligheder, og udnytter disse oplysninger til at målrette mod kendte servere. Den bevæger sig derefter sideværts inden for netværket eller forbundne miljøer og spreder Hadooken-malwaren yderligere.

Hadooken består af to hovedkomponenter: en cryptocurrency-miner og et Distributed Denial-of-Service (DDoS) botnet kendt som Tsunami (aka Kaiten). Malwaren har en historie med at angribe Jenkins og Weblogic-tjenester i Kubernetes-klynger. Malwaren sikrer også vedholdenhed på den inficerede vært ved at skabe cron-job til at køre kryptominer med forskellige intervaller.

For at undgå opdagelse anvender Hadooken adskillige taktikker, herunder Base64-kodede nyttelaster, forklædning af minearbejders nyttelaster med harmløse navne som 'bash' og 'java' for at blande sig med legitime processer, og sletning af artefakter efter udførelse for at dække alle spor af dens skadelige aktivitet.

Forbindelser til cyberkriminalitetsgrupper

Cybersikkerhedsforskere har identificeret IP-adressen 89.185.85.102 som værende registreret i Tyskland under hostingfirmaet Aeza International LTD (AS210644). I februar 2024 blev denne IP knyttet til en kryptovalutakampagne af 8220 Gang, som udnyttede sårbarheder i Apache Log4j og Atlassian Confluence Server and Data Center.

Den anden IP-adresse, 185.174.136.204, er, selvom den i øjeblikket er inaktiv, også tilknyttet Aeza Group Ltd. (AS216246). Som nævnt i juli 2024 er Aeza en skudsikker hostingudbyder med aktiviteter i Moskva M9 og to datacentre i Frankfurt. Aezas hurtige vækst og operationelle model tilskrives dets rekruttering af unge udviklere, der er forbundet til russiske skudsikre hostingtjenester, som giver sikre tilflugtssteder for cyberkriminelle aktiviteter.