Hadookeni pahavara

Küberturvalisuse eksperdid avastasid Linuxi süsteemidele suunatud uue pahavarakampaania, mis keskendub ebaseaduslikule krüptoraha kaevandamisele ja botnettide pahavara levitamisele. See kampaania sihib selgesõnaliselt Oracle Weblogici servereid, pakkudes pahavara varianti nimega Hadooken. Pärast käivitamist installib Hadooken tsunami pahavara ja käivitab krüptokaevandaja. Rünnak kasutab esmase juurdepääsu saamiseks ja haavatavatel eksemplaridel suvalise koodi käivitamiseks ära tuntud turvaauke ja süsteemi väärkonfiguratsioone, nagu nõrgad mandaadid.

Hadookeni pahavara rünnakuahel

See rünnak hõlmab kahe peaaegu identse kasuliku koormuse juurutamist: üks on kirjutatud Pythonis ja teine shelliskriptina. Mõlemad vastutavad Hadookeni pahavara kaugserveritest toomise eest ('89.185.85.102' või '185.174.136.204').

Shelliskripti versioon kontrollib lisaks katalooge, mis sisaldavad SSH-andmeid, nagu kasutaja mandaadid, hosti üksikasjad ja saladused, kasutades seda teavet teadaolevate serverite sihtimiseks. Seejärel liigub see võrgus või ühendatud keskkondades külgsuunas, levitades Hadookeni pahavara veelgi.

Hadooken koosneb kahest põhikomponendist: krüptovaluuta kaevandajast ja hajutatud teenusekeelu (DDoS) botnetist, mida tuntakse Tsunami (aka Kaiten) nime all. Pahavara on varem Kubernetese klastrites rünnanud Jenkinsi ja Weblogicu teenuseid. Pahavara tagab ka püsivuse nakatunud hostis, luues cron-töid krüptokaevandaja käitamiseks erinevate intervallidega.

Tuvastamisest kõrvalehoidmiseks kasutab Hadooken mitut taktikat, sealhulgas Base64-kodeeritud kasulikke koormusi, varjab kaevanduskoormusi kahjutute nimedega, nagu 'bash' ja 'java', et sulanduda seaduslike protsessidega, ja kustutab artefaktid pärast käivitamist, et katta kõik selle kahjuliku tegevuse jäljed.

Ühendused küberkuritegevuse rühmadega

Küberturvalisuse teadlased tuvastasid, et IP-aadress 89.185.85.102 on registreeritud Saksamaal hostimisettevõtte Aeza International LTD (AS210644) all. 2024. aasta veebruaris seostati see IP krüptovaluutakampaaniaga 8220 Gang, mis kasutas ära Apache Log4j ning Atlassian Confluence'i serveri ja andmekeskuse turvaauke.

Teine IP-aadress 185.174.136.204, ehkki praegu passiivne, on samuti seotud ettevõttega Aeza Group Ltd. (AS216246). Nagu 2024. aasta juulis märgiti, on Aeza kuulikindel hostimise pakkuja, mis tegutseb Moskvas M9 ja kahes andmekeskuses Frankfurdis. Aeza kiire kasv ja tegevusmudel on tingitud noorte arendajate värbamisest, mis on ühendatud Venemaa kuulikindlate hostimisteenustega, mis pakuvad turvalisi varjupaiku küberkuritegevuseks.