תוכנות זדוניות של Hadooken
מומחי אבטחת סייבר גילו קמפיין תוכנות זדוניות חדש המכוון למערכות לינוקס, המתמקד בכריית מטבעות קריפטוגרפיים בלתי חוקיים והפצת תוכנות זדוניות של בוטנט. מסע פרסום זה מכוון במפורש לשרתי Oracle Weblogic, ומספק גרסת תוכנה זדונית בשם Hadooken. לאחר ביצועו, האדוקן מתקין את תוכנת הזדונית של צונאמי ומשגר כורה קריפטו. המתקפה מנצלת פגיעויות ידועות ותצורות שגויות של המערכת, כגון אישורים חלשים, כדי לקבל גישה ראשונית ולהפעיל קוד שרירותי במופעים פגיעים.
שרשרת ההתקפה של תוכנת הזדוניות של האדוקן
מתקפה זו כוללת פריסת שני מטענים כמעט זהים: האחד כתוב ב-Python והשני כסקריפט מעטפת. שניהם אחראים על שליפת התוכנה הזדונית של Hadooken משרתים מרוחקים ('89.185.85.102' או '185.174.136.204').
גרסת הסקריפט של המעטפת סורקת בנוסף ספריות המכילות נתוני SSH, כגון אישורי משתמש, פרטי מארח וסודות, וממנפת מידע זה למיקוד שרתים ידועים. לאחר מכן הוא נע לרוחב בתוך הרשת או בסביבות מחוברות, ומפיץ את התוכנה הזדונית של Hadooken הלאה.
Hadooken מורכב משני מרכיבים עיקריים: כורה מטבעות קריפטוגרפיים ו-botnet של מניעת שירות מבוזרת (DDoS) הידועה בשם צונאמי (המכונה Kaiten). לתוכנה הזדונית יש היסטוריה של תקיפת שירותי Jenkins ו-Weblogic באשכולות Kubernetes. התוכנה הזדונית גם מבטיחה התמדה על המארח הנגוע על ידי יצירת עבודות cron להפעלת כורה הקריפטו במרווחי זמן משתנים.
כדי להתחמק מזיהוי, האדוקן נוקטת בכמה טקטיקות, כולל מטענים מקודדים ב-Base64, הסוואה של מטענים של כורים עם שמות תמימים כמו 'bash' ו-'java' כדי להשתלב בתהליכים לגיטימיים, ומחיקת חפצים לאחר ביצוע כדי לכסות כל זכר לפעילותו המזיקה.
חיבורים לקבוצות פשעי סייבר
חוקרי אבטחת סייבר זיהו את כתובת ה-IP 89.185.85.102 כרשומה בגרמניה תחת חברת האחסון Aeza International LTD (AS210644). בפברואר 2024, IP זה היה מקושר למסע פרסום של מטבעות קריפטוגרפיים על ידי 8220 Gang, שניצל נקודות תורפה ב- Apache Log4j וב-Atlassian Confluence Server and Data Center.
כתובת ה-IP השנייה, 185.174.136.204, על אף שאינה פעילה כרגע, משויכת גם ל-Aeza Group Ltd. (AS216246). כפי שצוין ביולי 2024, Aeza היא ספקית אירוח חסינת כדורים עם פעילות במוסקבה M9 ושני מרכזי נתונים בפרנקפורט. הצמיחה המהירה והמודל התפעולי של Aeza מיוחסים לגיוס מפתחים צעירים המחוברים לשירותי אירוח רוסים חסיני כדורים, המספקים מקלט בטוח לפעילות עבריינית סייבר.
