Hadooken zlonamjerni softver

Stručnjaci za kibernetičku sigurnost otkrili su novu kampanju zlonamjernog softvera usmjerenu na Linux sustave, fokusirajući se na ilegalno rudarenje kriptovaluta i širenje zlonamjernog softvera botnet-a. Ova kampanja izričito cilja na poslužitelje Oracle Weblogic, isporučujući varijantu zlonamjernog softvera pod nazivom Hadooken. Nakon što se izvrši, Hadooken instalira zlonamjerni softver Tsunami i pokreće kripto rudar. Napad iskorištava dobro poznate ranjivosti i pogrešne konfiguracije sustava, kao što su slabe vjerodajnice, za dobivanje početnog pristupa i pokretanje proizvoljnog koda na ranjivim instancama.

Lanac napada zlonamjernog softvera Hadooken

Ovaj napad uključuje implementaciju dvaju gotovo identičnih sadržaja: jednog napisanog u Pythonu, a drugog kao skriptu ljuske. Oba su odgovorna za dohvaćanje zlonamjernog softvera Hadooken s udaljenih poslužitelja ('89.185.85.102' ili '185.174.136.204').

Verzija skripte ljuske dodatno skenira direktorije koji sadrže SSH podatke, kao što su korisničke vjerodajnice, pojedinosti o hostu i tajne, iskorištavajući te informacije za ciljanje poznatih poslužitelja. Zatim se pomiče bočno unutar mreže ili povezanih okruženja, dalje šireći zlonamjerni softver Hadooken.

Hadooken se sastoji od dvije glavne komponente: rudara kriptovalute i distribuiranog uskraćivanja usluge (DDoS) botneta poznatog kao Tsunami (aka Kaiten). Zlonamjerni softver ima povijest napada na usluge Jenkins i Weblogic u Kubernetes klasterima. Zlonamjerni softver također osigurava postojanost na zaraženom hostu stvaranjem cron poslova za pokretanje kripto rudara u različitim intervalima.

Kako bi izbjegao otkrivanje, Hadooken koristi nekoliko taktika, uključujući Base64-kodirane korisničke sadržaje, prikrivanje korisnih opterećenja rudara bezazlenim imenima poput 'bash' i 'java' kako bi se uklopili s legitimnim procesima i brisanje artefakata nakon izvršenja kako bi se prikrili svi tragovi njegove štetne aktivnosti.

Veze sa skupinama kibernetičkog kriminala

Istraživači kibernetičke sigurnosti identificirali su IP adresu 89.185.85.102 kao registriranu u Njemačkoj pod hosting tvrtkom Aeza International LTD (AS210644). U veljači 2024. ovaj je IP povezan s kampanjom kriptovaluta od strane 8220 Ganga, koja je iskorištavala ranjivosti u Apache Log4j i Atlassian Confluence Server and Data Center.

Druga IP adresa, 185.174.136.204, iako trenutno neaktivna, također je povezana s Aeza Group Ltd. (AS216246). Kao što je navedeno u srpnju 2024., Aeza je neprobojni pružatelj hostinga s operacijama u Moskvi M9 i dva podatkovna centra u Frankfurtu. Aezin brzi rast i operativni model pripisuju se zapošljavanju mladih programera povezanih s ruskim neprobojnim hosting uslugama, koje pružaju sigurno utočište za aktivnosti kibernetičkog kriminala.