Hadooken Malware

Kiberbiztonsági szakértők egy új, Linux rendszereket célzó kártevő-kampányt fedeztek fel, amelynek középpontjában az illegális kriptovaluta bányászat és a botnet rosszindulatú programok terjesztése áll. Ez a kampány kifejezetten az Oracle Weblogic szervereket célozza meg, és egy Hadooken nevű malware-változatot szállít. A végrehajtás után a Hadooken telepíti a Tsunami kártevőt, és elindít egy kriptobányászt. A támadás jól ismert sebezhetőségeket és hibás rendszerkonfigurációkat, például gyenge hitelesítési adatokat használ ki a kezdeti hozzáférés megszerzéséhez és tetszőleges kód futtatásához a sebezhető példányokon.

A Hadooken kártevő támadási lánca

Ez a támadás két közel azonos hasznos adat telepítését foglalja magában: az egyik Pythonban van írva, a másik pedig shell-szkriptként. Mindkettő felelős a Hadooken rosszindulatú program távoli szerverekről való lekéréséért ('89.185.85.102' vagy "185.174.136.204").

A shell szkript verziója emellett megvizsgálja az SSH-adatokat, például a felhasználói hitelesítő adatokat, a gazdagép részleteit és a titkokat tartalmazó könyvtárakat, és ezeket az információkat az ismert kiszolgálók megcélzására használja fel. Ezután oldalirányban mozog a hálózaton vagy a csatlakoztatott környezeteken belül, tovább terjesztve a Hadooken kártevőt.

A Hadooken két fő összetevőből áll: egy kriptovaluta bányászból és egy elosztott szolgáltatásmegtagadási (DDoS) botnetből, amely Tsunami (más néven Kaiten) néven ismert. A rosszindulatú program korábban megtámadta a Jenkins és a Weblogic szolgáltatásokat a Kubernetes-fürtökben. A rosszindulatú program a fertőzött gazdagépen a fennmaradást is biztosítja azáltal, hogy cron-feladatokat hoz létre a titkosítási bányász különböző időközönkénti futtatásához.

Az észlelés elkerülése érdekében a Hadooken többféle taktikát alkalmaz, beleértve a Base64-kódolású rakományokat, a bányász rakományokat ártalmatlan nevekkel, például „bash” és „java” álcázásával, hogy beleolvadjon a törvényes folyamatokba, és a végrehajtás után törli a műtermékeket, hogy elfedje a káros tevékenység nyomait.

Kapcsolatok kiberbűnözési csoportokkal

A kiberbiztonsági kutatók a 89.185.85.102 IP-címet Németországban az Aeza International LTD (AS210644) tárhelytársaság alatt regisztráltként azonosították. 2024 februárjában ezt az IP-címet a 8220 Gang kriptovaluta kampányához kapcsolták, amely kihasználta az Apache Log4j és az Atlassian Confluence Server and Data Center sebezhetőségeit.

A második IP-cím, a 185.174.136.204, bár jelenleg inaktív, szintén az Aeza Group Ltd.-hez van társítva (AS216246). Amint azt 2024 júliusában megjegyeztük, az Aeza egy golyóálló tárhelyszolgáltató, amely Moszkva M9-ben működik, és két frankfurti adatközponttal rendelkezik. Az Aeza gyors növekedése és működési modellje annak tudható be, hogy fiatal fejlesztőket toborzott, akik az orosz golyóálló hosting szolgáltatásokhoz kapcsolódnak, amelyek biztonságos menedéket nyújtanak a kiberbűnözők számára.