Hadooken ļaunprātīga programmatūra

Kiberdrošības eksperti atklājuši jaunu ļaunprogrammatūras kampaņu, kas vērsta uz Linux sistēmām, koncentrējoties uz nelegālu kriptovalūtas ieguvi un robottīklu ļaunprātīgas programmatūras izplatīšanu. Šī kampaņa ir tieši vērsta uz Oracle Weblogic serveriem, nodrošinot ļaunprātīgas programmatūras variantu ar nosaukumu Hadooken. Kad tas ir izpildīts, Hadooken instalē Cunami ļaunprogrammatūru un palaiž šifrēšanas ieguvi. Uzbrukumā tiek izmantotas labi zināmas ievainojamības un nepareizas sistēmas konfigurācijas, piemēram, vāji akreditācijas dati, lai iegūtu sākotnējo piekļuvi un palaistu patvaļīgu kodu ievainojamos gadījumos.

Hadooken ļaunprātīgas programmatūras uzbrukuma ķēde

Šis uzbrukums ietver divu gandrīz identisku lietderīgās slodzes izvietošanu: viena ir rakstīta Python, bet otra kā čaulas skripts. Abi ir atbildīgi par Hadooken ļaunprātīgas programmatūras ienešanu no attāliem serveriem ('89.185.85.102' vai '185.174.136.204').

Apvalka skripta versija papildus skenē direktorijus, kas satur SSH datus, piemēram, lietotāja akreditācijas datus, resursdatora informāciju un noslēpumus, izmantojot šo informāciju, lai mērķētu uz zināmiem serveriem. Pēc tam tas pārvietojas uz sāniem tīklā vai savienotajās vidēs, tālāk izplatot Hadooken ļaunprātīgo programmatūru.

Hadooken sastāv no divām galvenajām sastāvdaļām: kriptovalūtas kalnrača un izplatītā pakalpojuma atteikuma (DDoS) robottīkla, kas pazīstams kā Cunami (aka Kaiten). Ļaunprātīgajai programmatūrai ir bijuši uzbrukumi Jenkins un Weblogic pakalpojumiem Kubernetes klasteros. Ļaunprātīga programmatūra arī nodrošina noturību inficētajā resursdatorā, izveidojot cron darbus, lai palaistu kriptogrāfijas ieguvi dažādos intervālos.

Lai izvairītos no atklāšanas, Hadooken izmanto vairākas taktikas, tostarp Base64 kodētas kravas, maskējot kalnraču derīgās kravas ar nekaitīgiem nosaukumiem, piemēram, "bash" un "java", lai tie saplūstu ar likumīgiem procesiem, un pēc izpildes dzēš artefaktus, lai segtu visas kaitīgās darbības pēdas.

Savienojumi ar kibernoziedzības grupām

Kiberdrošības pētnieki ir identificējuši IP adresi 89.185.85.102 kā reģistrētu Vācijā mitināšanas uzņēmumā Aeza International LTD (AS210644). 2024. gada februārī šis IP tika saistīts ar kriptovalūtas kampaņu, ko veica grupa 8220 Gang, kas izmantoja Apache Log4j un Atlassian Confluence servera un datu centra ievainojamības.

Otrā IP adrese 185.174.136.204, lai gan pašlaik neaktīva, arī ir saistīta ar Aeza Group Ltd. (AS216246). Kā minēts 2024. gada jūlijā, Aeza ir ložu necaurlaidīgs mitināšanas pakalpojumu sniedzējs, kas darbojas Maskavā M9 un diviem datu centriem Frankfurtē. Aeza straujā izaugsme un darbības modelis ir saistīts ar jaunu izstrādātāju piesaisti, kas ir saistīti ar Krievijas ložu necaurlaidīgajiem hostinga pakalpojumiem, kas nodrošina drošu patvērumu kibernoziedzīgām darbībām.