Perisian Hasad Hadooken

Pakar keselamatan siber telah menemui kempen perisian hasad baharu yang bertujuan untuk sistem Linux, memfokuskan pada perlombongan mata wang kripto haram dan menyebarkan perisian hasad botnet. Kempen ini secara eksplisit menyasarkan pelayan Oracle Weblogic, menyampaikan varian perisian hasad bernama Hadooken. Setelah dilaksanakan, Hadooken memasang perisian hasad Tsunami dan melancarkan pelombong kripto. Serangan itu mengeksploitasi kelemahan yang terkenal dan salah konfigurasi sistem, seperti kelayakan yang lemah, untuk mendapatkan akses awal dan menjalankan kod sewenang-wenangnya pada kejadian yang terdedah.

Rantaian Serangan Perisian Hasad Hadooken

Serangan ini melibatkan penggunaan dua muatan yang hampir sama: satu ditulis dalam Python dan satu lagi sebagai skrip shell. Kedua-duanya bertanggungjawab untuk mengambil perisian hasad Hadooken daripada pelayan jauh ('89.185.85.102' atau '185.174.136.204').

Versi skrip shell juga mengimbas direktori yang mengandungi data SSH, seperti bukti kelayakan pengguna, butiran hos dan rahsia, memanfaatkan maklumat ini untuk menyasarkan pelayan yang diketahui. Ia kemudian bergerak ke sisi dalam rangkaian atau persekitaran yang disambungkan, menyebarkan perisian hasad Hadooken lebih jauh.

Hadooken terdiri daripada dua komponen utama: pelombong mata wang kripto dan botnet Penafian Perkhidmatan (DDoS) Teragih yang dikenali sebagai Tsunami (aka Kaiten). Malware mempunyai sejarah menyerang perkhidmatan Jenkins dan Weblogic dalam kelompok Kubernetes. Malware juga memastikan kegigihan pada hos yang dijangkiti dengan mencipta pekerjaan cron untuk menjalankan pelombong kripto pada selang masa yang berbeza-beza.

Untuk mengelakkan pengesanan, Hadooken menggunakan beberapa taktik, termasuk muatan berkod Base64, menyamarkan muatan penambang dengan nama yang tidak berbahaya seperti 'bash' dan 'java' untuk digabungkan dengan proses yang sah dan memadamkan artifak selepas pelaksanaan untuk menutup sebarang kesan aktiviti berbahayanya.

Sambungan kepada Kumpulan Jenayah Siber

Penyelidik keselamatan siber telah mengenal pasti alamat IP 89.185.85.102 sebagai didaftarkan di Jerman di bawah syarikat pengehosan Aeza International LTD (AS210644). Pada Februari 2024, IP ini telah dikaitkan dengan kempen mata wang kripto oleh Geng 8220, yang mengeksploitasi kelemahan dalam Apache Log4j dan Atlassian Confluence Server dan Pusat Data.

Alamat IP kedua, 185.174.136.204, walaupun pada masa ini tidak aktif, juga dikaitkan dengan Aeza Group Ltd. (AS216246). Seperti yang dinyatakan pada Julai 2024, Aeza ialah penyedia pengehosan kalis peluru dengan operasi di Moscow M9 dan dua pusat data di Frankfurt. Pertumbuhan pesat Aeza dan model operasi disebabkan oleh pengambilan pembangun muda yang disambungkan kepada perkhidmatan pengehosan kalis peluru Rusia, yang menyediakan tempat selamat untuk aktiviti jenayah siber.