हैडूकेन मैलवेयर

साइबर सुरक्षा विशेषज्ञों ने लिनक्स सिस्टम पर लक्षित एक नए मैलवेयर अभियान की खोज की है, जो अवैध क्रिप्टोक्यूरेंसी खनन और बॉटनेट मैलवेयर फैलाने पर केंद्रित है। यह अभियान स्पष्ट रूप से Oracle Weblogic सर्वर को लक्षित करता है, जो Hadooken नामक मैलवेयर वैरिएंट वितरित करता है। एक बार निष्पादित होने के बाद, Hadooken सुनामी मैलवेयर स्थापित करता है और एक क्रिप्टो माइनर लॉन्च करता है। यह हमला सुप्रसिद्ध कमजोरियों और सिस्टम गलत कॉन्फ़िगरेशन, जैसे कमजोर क्रेडेंशियल्स का फायदा उठाता है, ताकि शुरुआती पहुँच प्राप्त की जा सके और कमजोर उदाहरणों पर मनमाना कोड चलाया जा सके।

हैडूकेन मैलवेयर की आक्रमण श्रृंखला

इस हमले में दो लगभग समान पेलोड तैनात करना शामिल है: एक पायथन में लिखा गया है और दूसरा शेल स्क्रिप्ट के रूप में। दोनों ही रिमोट सर्वर ('89.185.85.102' या '185.174.136.204') से हैडूकेन मैलवेयर लाने के लिए जिम्मेदार हैं।

शेल स्क्रिप्ट संस्करण अतिरिक्त रूप से SSH डेटा युक्त निर्देशिकाओं को स्कैन करता है, जैसे कि उपयोगकर्ता क्रेडेंशियल, होस्ट विवरण और रहस्य, इस जानकारी का लाभ उठाकर ज्ञात सर्वरों को लक्षित करता है। फिर यह नेटवर्क या कनेक्टेड वातावरण में पार्श्विक रूप से आगे बढ़ता है, जिससे Hadooken मैलवेयर और अधिक फैल जाता है।

हैडूकेन में दो मुख्य घटक होते हैं: एक क्रिप्टोकरेंसी माइनर और एक डिस्ट्रिब्यूटेड डेनियल-ऑफ-सर्विस (DDoS) बॉटनेट जिसे सुनामी (उर्फ काइटेन) के नाम से जाना जाता है। इस मैलवेयर का कुबेरनेट्स क्लस्टर में जेनकिंस और वेबलॉजिक सेवाओं पर हमला करने का इतिहास रहा है। मैलवेयर अलग-अलग अंतराल पर क्रिप्टो माइनर को चलाने के लिए क्रॉन जॉब बनाकर संक्रमित होस्ट पर दृढ़ता भी सुनिश्चित करता है।

पता लगाने से बचने के लिए, हैडूकेन कई रणनीति अपनाता है, जिसमें बेस 64-एनकोडेड पेलोड, वैध प्रक्रियाओं के साथ मिश्रण करने के लिए 'बैश' और 'जावा' जैसे हानिरहित नामों के साथ माइनर पेलोड को छिपाना, और इसकी हानिकारक गतिविधि के किसी भी निशान को छिपाने के लिए निष्पादन के बाद कलाकृतियों को हटाना शामिल है।

साइबर अपराध समूहों से संबंध

साइबर सुरक्षा शोधकर्ताओं ने IP पते 89.185.85.102 की पहचान होस्टिंग कंपनी एज़ा इंटरनेशनल लिमिटेड (AS210644) के तहत जर्मनी में पंजीकृत होने के रूप में की है। फरवरी 2024 में, इस IP को 8220 गैंग द्वारा एक क्रिप्टोकरेंसी अभियान से जोड़ा गया था, जिसने अपाचे लॉग4जे और एटलसियन कॉन्फ्लुएंस सर्वर और डेटा सेंटर में कमजोरियों का फायदा उठाया था।

दूसरा आईपी पता, 185.174.136.204, हालांकि वर्तमान में निष्क्रिय है, यह भी एज़ा ग्रुप लिमिटेड (AS216246) से जुड़ा हुआ है। जैसा कि जुलाई 2024 में उल्लेख किया गया है, एज़ा एक बुलेटप्रूफ होस्टिंग प्रदाता है जिसका संचालन मॉस्को M9 और फ्रैंकफर्ट में दो डेटा सेंटर में होता है। एज़ा के तेज़ विकास और परिचालन मॉडल का श्रेय रूसी बुलेटप्रूफ होस्टिंग सेवाओं से जुड़े युवा डेवलपर्स की भर्ती को जाता है, जो साइबर अपराधियों की गतिविधियों के लिए सुरक्षित आश्रय प्रदान करते हैं।