Hadooken kenkėjiška programa

Kibernetinio saugumo ekspertai atrado naują kenkėjiškų programų kampaniją, skirtą „Linux“ sistemoms, daugiausia dėmesio skiriant neteisėtai kriptovaliutų kasybai ir „botnet“ kenkėjiškų programų platinimui. Ši kampanija yra skirta „Oracle Weblogic“ serveriams, pateikiant kenkėjiškos programos variantą pavadinimu „Hadooken“. Įvykdžius, Hadooken įdiegia Cunami kenkėjišką programą ir paleidžia kriptovaliutų kasyklą. Ataka išnaudoja gerai žinomus pažeidžiamumus ir neteisingą sistemos konfigūraciją, pvz., silpnus kredencialus, kad gautų pradinę prieigą ir paleistų savavališką kodą pažeidžiamuose egzemplioriuose.

„Hadooken“ kenkėjiškų programų atakų grandinė

Ši ataka apima dviejų beveik identiškų naudingųjų apkrovų diegimą: viena parašyta Python, o kita kaip apvalkalo scenarijus. Abu yra atsakingi už „Hadooken“ kenkėjiškų programų gavimą iš nuotolinių serverių („89.185.85.102“ arba „185.174.136.204“).

Apvalkalo scenarijaus versija papildomai nuskaito katalogus, kuriuose yra SSH duomenų, pvz., vartotojo kredencialų, pagrindinio kompiuterio informacijos ir paslapčių, panaudodama šią informaciją, kad nukreiptų į žinomus serverius. Tada jis juda į šoną tinkle arba prijungtoje aplinkoje, toliau platindamas Hadooken kenkėjišką programą.

Hadooken susideda iš dviejų pagrindinių komponentų: kriptovaliutų kasyklos ir paskirstyto paslaugų atsisakymo (DDoS) botneto, žinomo kaip Cunami (dar žinomas kaip Kaiten). Kenkėjiška programinė įranga atakavo „Jenkins“ ir „Weblogic“ paslaugas Kubernetes klasteriuose. Kenkėjiška programa taip pat užtikrina išlikimą užkrėstame pagrindiniame kompiuteryje, sukurdama cron užduotis, kad kriptovaliutų kasykla būtų paleista įvairiais intervalais.

Kad išvengtų aptikimo, Hadooken taiko keletą taktikų, įskaitant Base64 koduotus naudingus krovinius, užmaskuoja kalnakasių naudinguosius krovinius nekenksmingais pavadinimais, tokiais kaip „bash“ ir „java“, kad susilietų su teisėtais procesais, ir pašalina artefaktus po vykdymo, kad padengtų bet kokius žalingos veiklos pėdsakus.

Ryšiai su elektroninių nusikaltimų grupėmis

Kibernetinio saugumo tyrinėtojai nustatė, kad IP adresas 89.185.85.102 yra registruotas Vokietijoje pagal prieglobos įmonę Aeza International LTD (AS210644). 2024 m. vasario mėn. šis IP buvo susietas su „8220 Gang“ vykdoma kriptovaliutų kampanija, kuri išnaudojo „Apache Log4j“ ir „Atlassian Confluence“ serverio ir duomenų centro spragas.

Antrasis IP adresas 185.174.136.204, nors šiuo metu neaktyvus, taip pat yra susietas su Aeza Group Ltd. (AS216246). Kaip pažymėta 2024 m. liepos mėn., „Aeza“ yra neperšaunamas prieglobos paslaugų teikėjas, veikiantis Maskvoje M9 ir dviejuose duomenų centruose Frankfurte. Spartus „Aeza“ augimas ir veiklos modelis siejami su jaunų kūrėjų, prisijungusių prie Rusijos neperšaunamo prieglobos paslaugų, suteikiančių saugų prieglobstį kibernetinei nusikalstamai veiklai, įdarbinimu.