하두켄 맬웨어

사이버 보안 전문가들은 Linux 시스템을 겨냥한 새로운 맬웨어 캠페인을 발견했는데, 불법적인 암호화폐 채굴과 봇넷 맬웨어 확산에 초점을 맞춥니다. 이 캠페인은 Oracle Weblogic 서버를 명시적으로 표적으로 삼아 Hadooken이라는 맬웨어 변형을 제공합니다. 실행되면 Hadooken은 Tsunami 맬웨어를 설치하고 암호화폐 채굴기를 시작합니다. 이 공격은 취약한 자격 증명과 같은 잘 알려진 취약성과 시스템 구성 오류를 악용하여 초기 액세스를 얻고 취약한 인스턴스에서 임의의 코드를 실행합니다.

Hadooken 맬웨어의 공격 체인

이 공격은 거의 동일한 두 개의 페이로드를 배포하는 것을 포함합니다. 하나는 Python으로 작성되고 다른 하나는 셸 스크립트로 작성됩니다. 둘 다 원격 서버('89.185.85.102' 또는 '185.174.136.204')에서 Hadooken 맬웨어를 가져오는 역할을 합니다.

셸 스크립트 버전은 또한 사용자 자격 증명, 호스트 세부 정보 및 비밀과 같은 SSH 데이터가 포함된 디렉토리를 스캔하여 이 정보를 활용하여 알려진 서버를 타겟팅합니다. 그런 다음 네트워크 또는 연결된 환경 내에서 측면으로 이동하여 Hadooken 맬웨어를 더욱 확산합니다.

Hadooken은 두 가지 주요 구성 요소로 구성되어 있습니다. 암호화폐 채굴자와 Tsunami(일명 Kaiten)로 알려진 분산 서비스 거부(DDoS) 봇넷입니다. 이 맬웨어는 Kubernetes 클러스터에서 Jenkins와 Weblogic 서비스를 공격한 적이 있습니다. 또한 이 맬웨어는 다양한 간격으로 암호화폐 채굴자를 실행하기 위한 크론 작업을 생성하여 감염된 호스트에서 지속성을 보장합니다.

탐지를 피하기 위해 Hadooken은 Base64로 인코딩된 페이로드, 합법적인 프로세스에 섞이기 위해 'bash' 및 'java'와 같은 무해한 이름으로 채굴 페이로드를 위장하는 것, 유해한 활동의 흔적을 은폐하기 위해 실행 후 아티팩트를 삭제하는 것 등 여러 가지 전략을 사용합니다.

사이버범죄 집단과의 연결

사이버 보안 연구원들은 IP 주소 89.185.85.102가 호스팅 회사 Aeza International LTD(AS210644)에 독일에서 등록되어 있는 것으로 확인했습니다. 2024년 2월, 이 IP는 Apache Log4j와 Atlassian Confluence Server 및 Data Center의 취약점을 악용한 8220 Gang의 암호화폐 캠페인과 연결되었습니다.

두 번째 IP 주소인 185.174.136.204는 현재 비활성화되어 있지만 Aeza Group Ltd.(AS216246)와도 연관되어 있습니다. 2024년 7월에 언급했듯이 Aeza는 모스크바 M9와 프랑크푸르트에 두 개의 데이터 센터를 운영하는 방탄 호스팅 제공업체입니다. Aeza의 급속한 성장과 운영 모델은 사이버 범죄 활동에 안전한 피난처를 제공하는 러시아 방탄 호스팅 서비스에 연결된 젊은 개발자를 모집한 데 기인합니다.