Malware Hadooken

Gli esperti di sicurezza informatica hanno scoperto una nuova campagna malware mirata ai sistemi Linux, incentrata sul mining illegale di criptovalute e sulla diffusione di malware botnet. Questa campagna prende di mira esplicitamente i server Oracle Weblogic, distribuendo una variante malware denominata Hadooken. Una volta eseguita, Hadooken installa il malware Tsunami e avvia un crypto miner. L'attacco sfrutta vulnerabilità note e configurazioni errate del sistema, come credenziali deboli, per ottenere l'accesso iniziale ed eseguire codice arbitrario su istanze vulnerabili.

La catena di attacco del malware Hadooken

Questo attacco comporta l'impiego di due payload quasi identici: uno scritto in Python e l'altro come script shell. Entrambi sono responsabili del recupero del malware Hadooken dai server remoti ('89.185.85.102' o '185.174.136.204').

La versione shell script analizza inoltre le directory contenenti dati SSH, come credenziali utente, dettagli host e segreti, sfruttando queste informazioni per colpire server noti. Quindi si sposta lateralmente all'interno della rete o degli ambienti connessi, diffondendo ulteriormente il malware Hadooken.

Hadooken è costituito da due componenti principali: un miner di criptovaluta e una botnet Distributed Denial-of-Service (DDoS) nota come Tsunami (aka Kaiten). Il malware ha una storia di attacchi ai servizi Jenkins e Weblogic nei cluster Kubernetes. Il malware assicura anche la persistenza sull'host infetto creando cron job per eseguire il miner di criptovaluta a intervalli variabili.

Per eludere il rilevamento, Hadooken impiega diverse tattiche, tra cui payload codificati in Base64, mascherando i payload dei miner con nomi innocui come "bash" e "java" per confonderli con i processi legittimi, ed eliminando gli artefatti dopo l'esecuzione per coprire ogni traccia della sua attività dannosa.

Collegamenti con gruppi di criminalità informatica

I ricercatori di sicurezza informatica hanno identificato l'indirizzo IP 89.185.85.102 come registrato in Germania sotto la società di hosting Aeza International LTD (AS210644). A febbraio 2024, questo IP è stato collegato a una campagna di criptovaluta da parte della 8220 Gang, che ha sfruttato le vulnerabilità in Apache Log4j e Atlassian Confluence Server e Data Center.

Il secondo indirizzo IP, 185.174.136.204, sebbene attualmente inattivo, è anch'esso associato ad Aeza Group Ltd. (AS216246). Come notato a luglio 2024, Aeza è un provider di hosting a prova di proiettile con operazioni a Mosca M9 e due data center a Francoforte. La rapida crescita e il modello operativo di Aeza sono attribuiti al suo reclutamento di giovani sviluppatori collegati ai servizi di hosting a prova di proiettile russi, che forniscono rifugi sicuri per le attività dei criminali informatici.