قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار Hadooken

بدافزار Hadooken

تا Mezo در بدافزار
ترجمه به:
فارسی

کارشناسان امنیت سایبری کمپین بدافزار جدیدی را با هدف سیستم‌های لینوکس کشف کرده‌اند که بر استخراج غیرقانونی ارزهای دیجیتال و انتشار بدافزارهای بات‌نت تمرکز دارد. این کمپین به صراحت سرورهای Oracle Weblogic را هدف قرار می دهد و یک بدافزار به نام Hadooken را ارائه می دهد. پس از اجرا، Hadooken بدافزار سونامی را نصب می‌کند و یک ماینر کریپتو راه‌اندازی می‌کند. این حمله از آسیب‌پذیری‌های شناخته شده و پیکربندی‌های نادرست سیستم، مانند اعتبارنامه‌های ضعیف، برای دستیابی به دسترسی اولیه و اجرای کد دلخواه بر روی نمونه‌های آسیب‌پذیر سوء استفاده می‌کند.

زنجیره حمله بدافزار Hadooken

این حمله شامل استقرار دو محموله تقریباً یکسان است: یکی نوشته شده در پایتون و دیگری به صورت پوسته اسکریپت. هر دو مسئول واکشی بدافزار Hadooken از سرورهای راه دور هستند ('89.185.85.102' یا '185.174.136.204').

نسخه پوسته اسکریپت علاوه بر این، دایرکتوری های حاوی داده های SSH، مانند اعتبار کاربر، جزئیات میزبان و اسرار را اسکن می کند و از این اطلاعات برای هدف قرار دادن سرورهای شناخته شده استفاده می کند. سپس به صورت جانبی در داخل شبکه یا محیط های متصل حرکت می کند و بدافزار Hadooken را بیشتر گسترش می دهد.

Hadooken از دو جزء اصلی تشکیل شده است: یک استخراج کننده ارز دیجیتال و یک بات نت انکار سرویس توزیع شده (DDoS) که به نام سونامی (معروف به کایتن) شناخته می شود. این بدافزار سابقه حمله به سرویس‌های Jenkins و Weblogic در خوشه‌های Kubernetes را دارد. این بدافزار همچنین با ایجاد cron job برای اجرای ماینر کریپتو در فواصل زمانی مختلف، ماندگاری میزبان آلوده را تضمین می کند.

برای فرار از تشخیص، Hadooken از چندین تاکتیک استفاده می‌کند، از جمله محموله‌های رمزگذاری شده با Base64، پنهان کردن محموله‌های ماینر با نام‌های بی‌ضرر مانند 'bash' و 'java' برای ادغام با فرآیندهای قانونی، و حذف مصنوعات پس از اجرا برای پوشاندن هر گونه اثری از فعالیت مضر خود.

ارتباط با گروه های جرایم سایبری

محققان امنیت سایبری آدرس IP 89.185.85.102 را در آلمان تحت شرکت میزبانی Aeza International LTD (AS210644) ثبت کرده اند. در فوریه 2024، این IP توسط باند 8220 به یک کمپین ارزهای دیجیتال مرتبط شد که از آسیب‌پذیری‌های Apache Log4j و Atlassian Confluence Server و Data Center سوء استفاده می‌کرد.

آدرس IP دوم، 185.174.136.204، اگرچه در حال حاضر غیرفعال است، با شرکت Aeza Group Ltd. (AS216246) نیز مرتبط است. همانطور که در جولای 2024 اشاره شد، Aeza یک ارائه دهنده میزبانی ضد گلوله است که در مسکو M9 و دو مرکز داده در فرانکفورت فعالیت می کند. رشد سریع و مدل عملیاتی Aeza به استخدام توسعه دهندگان جوان مرتبط با خدمات میزبانی ضد گلوله روسی نسبت داده می شود که پناهگاه های امنی را برای فعالیت های مجرمانه سایبری فراهم می کند.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

فیشینگ, هرزنامه
37,715
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...

پاپ‌آپ‌های «اگر ۱۸ ساله هستید روی اجازه ضربه بزنید».

پیام های هشدار جعلی
29,325
پاپ‌آپ‌های «اگر ۱۸ ساله هستید، اجازه دهید ضربه بزنید» نوعی از تبلیغات پاپ‌آپ است که هنگام مرور اینترنت روی صفحه نمایش کاربر ظاهر می‌شود. این پاپ‌آپ‌ها می‌توانند برای کاربران کاملاً هشداردهنده باشند زیرا از آن‌ها می‌خواهند برای ادامه استفاده از وب‌سایتی که در حال حاضر در آن هستند، روی دکمه «مجاز» کلیک کنند. این پاپ آپ ها با برنامه های ناخواسته ای مانند ابزارهای تبلیغاتی مزاحم مرتبط هستند که می...
بارگذاری...