Κακόβουλο λογισμικό Hadooken

Οι ειδικοί στον τομέα της κυβερνοασφάλειας ανακάλυψαν μια νέα καμπάνια κακόβουλου λογισμικού που στοχεύει σε συστήματα Linux, εστιάζοντας στην παράνομη εξόρυξη κρυπτονομισμάτων και στη διάδοση κακόβουλου λογισμικού botnet. Αυτή η καμπάνια στοχεύει ρητά τους διακομιστές Oracle Weblogic, παρέχοντας μια παραλλαγή κακόβουλου λογισμικού που ονομάζεται Hadooken. Μόλις εκτελεστεί, ο Hadooken εγκαθιστά το κακόβουλο λογισμικό Tsunami και εκκινεί ένα crypto miner. Η επίθεση εκμεταλλεύεται γνωστά τρωτά σημεία και εσφαλμένες διαμορφώσεις συστήματος, όπως αδύναμα διαπιστευτήρια, για να αποκτήσει αρχική πρόσβαση και να εκτελέσει αυθαίρετο κώδικα σε ευάλωτες παρουσίες.

Η αλυσίδα επίθεσης του κακόβουλου λογισμικού Hadooken

Αυτή η επίθεση περιλαμβάνει την ανάπτυξη δύο σχεδόν πανομοιότυπων ωφέλιμων φορτίων: το ένα γραμμένο σε Python και το άλλο ως σενάριο φλοιού. Και οι δύο είναι υπεύθυνοι για την ανάκτηση του κακόβουλου λογισμικού Hadooken από απομακρυσμένους διακομιστές ("89.185.85.102" ή "185.174.136.204").

Η έκδοση σεναρίου φλοιού σαρώνει επιπλέον καταλόγους που περιέχουν δεδομένα SSH, όπως διαπιστευτήρια χρήστη, λεπτομέρειες κεντρικού υπολογιστή και μυστικά, αξιοποιώντας αυτές τις πληροφορίες για να στοχεύσουν γνωστούς διακομιστές. Στη συνέχεια μετακινείται πλευρικά μέσα στο δίκτυο ή σε συνδεδεμένα περιβάλλοντα, εξαπλώνοντας περαιτέρω το κακόβουλο λογισμικό Hadooken.

Το Hadooken αποτελείται από δύο κύρια στοιχεία: έναν εξόρυξη κρυπτονομισμάτων και ένα botnet διανεμημένης άρνησης υπηρεσίας (DDoS) γνωστό ως Τσουνάμι (γνωστός και ως Kaiten). Το κακόβουλο λογισμικό έχει ιστορικό επιθέσεων στις υπηρεσίες Jenkins και Weblogic στα συμπλέγματα Kubernetes. Το κακόβουλο λογισμικό διασφαλίζει επίσης την επιμονή στον μολυσμένο κεντρικό υπολογιστή δημιουργώντας θέσεις εργασίας cron για την εκτέλεση του crypto miner σε διάφορα διαστήματα.

Για να αποφύγει τον εντοπισμό, το Hadooken χρησιμοποιεί διάφορες τακτικές, όπως ωφέλιμα φορτία με κωδικοποίηση Base64, συγκάλυψη ωφέλιμων φορτίων εξορυκτών με αβλαβή ονόματα όπως «bash» και «java» για να συνδυάζονται με νόμιμες διαδικασίες και διαγράφοντας αντικείμενα μετά την εκτέλεση για να καλύψει τυχόν ίχνη της επιβλαβούς δραστηριότητάς του.

Συνδέσεις με Ομάδες Ηλεκτρονικού Εγκλήματος

Οι ερευνητές στον τομέα της κυβερνοασφάλειας εντόπισαν τη διεύθυνση IP 89.185.85.102 ως καταχωρισμένη στη Γερμανία υπό την εταιρεία φιλοξενίας Aeza International LTD (AS210644). Τον Φεβρουάριο του 2024, αυτή η IP συνδέθηκε με μια καμπάνια κρυπτονομισμάτων από τη συμμορία 8220, η οποία εκμεταλλεύτηκε ευπάθειες στο Apache Log4j και στο Atlassian Confluence Server and Data Center.

Η δεύτερη διεύθυνση IP, 185.174.136.204, αν και επί του παρόντος είναι ανενεργή, σχετίζεται επίσης με την Aeza Group Ltd. (AS216246). Όπως σημειώθηκε τον Ιούλιο του 2024, η Aeza είναι αλεξίσφαιρος πάροχος φιλοξενίας με λειτουργίες στο Moscow M9 και δύο κέντρα δεδομένων στη Φρανκφούρτη. Η ταχεία ανάπτυξη και το λειτουργικό μοντέλο της Aeza αποδίδονται στη στρατολόγηση νέων προγραμματιστών που συνδέονται με ρωσικές αλεξίσφαιρες υπηρεσίες φιλοξενίας, οι οποίες παρέχουν ασφαλή καταφύγια για εγκληματικές δραστηριότητες στον κυβερνοχώρο.