Hadooken-haittaohjelma

Kyberturvallisuusasiantuntijat ovat havainneet uuden Linux-järjestelmille suunnatun haittaohjelmakampanjan, joka keskittyy laittomaan kryptovaluutan louhintaan ja botnet-haittaohjelmien levittämiseen. Tämä kampanja on kohdistettu nimenomaan Oracle Weblogic -palvelimiin ja toimittaa Hadooken-nimisen haittaohjelman muunnelman. Kun Hadooken on suoritettu, se asentaa Tsunami- haittaohjelman ja käynnistää salauskaivosohjelman. Hyökkäys hyödyntää tunnettuja haavoittuvuuksia ja järjestelmän virheellisiä määrityksiä, kuten heikkoja tunnistetietoja, päästäkseen alkuun ja ajaakseen mielivaltaista koodia haavoittuvissa tapauksissa.

Hadooken-haittaohjelman hyökkäysketju

Tämä hyökkäys sisältää kahden lähes identtisen hyötykuorman käyttöönoton: toinen on kirjoitettu Pythonilla ja toinen shell-skriptinä. Molemmat ovat vastuussa Hadooken-haittaohjelman hakemisesta etäpalvelimista ('89.185.85.102' tai '185.174.136.204').

Shell-komentosarjaversio tarkistaa lisäksi hakemistoja, jotka sisältävät SSH-tietoja, kuten käyttäjän tunnistetiedot, isäntätiedot ja salaisuudet, hyödyntäen näitä tietoja kohdistaakseen tunnettuihin palvelimiin. Sitten se liikkuu sivusuunnassa verkossa tai yhdistetyissä ympäristöissä levittäen Hadooken-haittaohjelmaa edelleen.

Hadooken koostuu kahdesta pääkomponentista: kryptovaluutan louhinnasta ja DDoS (Distributed Denial-of-Service) bottiverkosta, joka tunnetaan nimellä Tsunami (alias Kaiten). Haittaohjelma on hyökännyt Jenkins- ja Weblogic-palveluihin Kubernetes-klustereissa. Haittaohjelma varmistaa myös pysyvyyden tartunnan saaneella isännällä luomalla cron-töitä krypto-kaivostyön suorittamiseksi vaihtelevin väliajoin.

Välttääkseen havaitsemisen Hadooken käyttää useita taktiikoita, kuten Base64-koodattuja hyötykuormia, naamioi kaivostyökuormat vaarattomilla nimillä, kuten "bash" ja "java", sulautumaan laillisiin prosesseihin ja poistamaan artefaktit suorituksen jälkeen peittämään haitallisen toiminnan jälkiä.

Yhteydet tietoverkkorikollisuusryhmiin

Kyberturvallisuustutkijat ovat havainneet IP-osoitteen 89.185.85.102 rekisteröidyksi Saksassa isännöintiyrityksen Aeza International LTD:n (AS210644) alle. Helmikuussa 2024 tämä IP linkitettiin 8220 Gangin kryptovaluuttakampanjaan, joka käytti hyväkseen Apache Log4j:n ja Atlassian Confluence Server and Data Centerin haavoittuvuuksia.

Toinen IP-osoite, 185.174.136.204, on tällä hetkellä passiivinen, mutta se liittyy myös Aeza Group Ltd:hen (AS216246). Kuten heinäkuussa 2024 todettiin, Aeza on luodinkestävä isännöintipalveluntarjoaja, jolla on toimintaa Moskovassa M9 ja kaksi palvelinkeskusta Frankfurtissa. Aezan nopea kasvu ja toimintamalli selittyvät nuorten kehittäjien rekrytoinnilla, jotka ovat yhteydessä venäläisiin luodinkestävään hosting-palveluihin, jotka tarjoavat turvapaikan kyberrikolliselle toiminnalle.