Hadooken skadelig programvare

Eksperter på nettsikkerhet har oppdaget en ny malware-kampanje rettet mot Linux-systemer, med fokus på ulovlig utvinning av kryptovaluta og spredning av skadelig programvare fra botnett. Denne kampanjen retter seg eksplisitt mot Oracle Weblogic-serverne, og leverer en malware-variant kalt Hadooken. Når den er henrettet, installerer Hadooken Tsunami- malwaren og starter en kryptogruvearbeider. Angrepet utnytter velkjente sårbarheter og systemfeilkonfigurasjoner, for eksempel svak legitimasjon, for å få innledende tilgang og kjøre vilkårlig kode på sårbare forekomster.

Angrepskjeden til Hadooken Malware

Dette angrepet innebærer å distribuere to nesten identiske nyttelaster: en skrevet i Python og den andre som et skallskript. Begge er ansvarlige for å hente Hadooken malware fra eksterne servere ('89.185.85.102' eller '185.174.136.204').

Skallskriptversjonen skanner i tillegg kataloger som inneholder SSH-data, for eksempel brukerlegitimasjon, vertsdetaljer og hemmeligheter, og utnytter denne informasjonen til å målrette mot kjente servere. Den beveger seg deretter sideveis innenfor nettverket eller tilkoblede miljøer, og sprer Hadooken-malwaren videre.

Hadooken består av to hovedkomponenter: en gruvearbeider for kryptovaluta og et DDoS-botnett (Distributed Denial-of-Service) kjent som Tsunami (aka Kaiten). Skadevaren har en historie med å angripe Jenkins og Weblogic-tjenester i Kubernetes-klynger. Skadevaren sikrer også utholdenhet på den infiserte verten ved å lage cron-jobber for å kjøre kryptogruvearbeideren med varierende intervaller.

For å unngå oppdagelse, bruker Hadooken flere taktikker, inkludert Base64-kodede nyttelaster, skjuler gruvearbeidere med ufarlige navn som "bash" og "java" for å blande seg inn i legitime prosesser, og sletter artefakter etter utførelse for å dekke spor av dens skadelige aktivitet.

Tilkoblinger til nettkriminalitetsgrupper

Cybersikkerhetsforskere har identifisert IP-adressen 89.185.85.102 som registrert i Tyskland under vertsselskapet Aeza International LTD (AS210644). I februar 2024 ble denne IP-adressen knyttet til en kryptovalutakampanje av 8220 Gang, som utnyttet sårbarheter i Apache Log4j og Atlassian Confluence Server and Data Center.

Den andre IP-adressen, 185.174.136.204, men for øyeblikket inaktiv, er også tilknyttet Aeza Group Ltd. (AS216246). Som nevnt i juli 2024, er Aeza en skuddsikker vertsleverandør med virksomhet i Moskva M9 og to datasentre i Frankfurt. Aezas raske vekst og driftsmodell tilskrives rekrutteringen av unge utviklere knyttet til russiske skuddsikre vertstjenester, som gir trygge havn for nettkriminelle aktiviteter.