Hadooken मालवेयर
साइबरसुरक्षा विशेषज्ञहरूले लिनक्स प्रणालीहरूमा लक्षित नयाँ मालवेयर अभियान पत्ता लगाएका छन्, अवैध क्रिप्टोकरेन्सी खननमा केन्द्रित र बोटनेट मालवेयर फैलाउने। यो अभियानले Oracle Weblogic सर्भरहरूलाई स्पष्ट रूपमा लक्षित गर्दछ, Hadooken नामको मालवेयर संस्करण प्रदान गर्दै। एक पटक कार्यान्वयन भएपछि, Hadooken सुनामी मालवेयर स्थापना गर्दछ र एक क्रिप्टो माइनर सुरू गर्दछ। आक्रमणले प्रारम्भिक पहुँच प्राप्त गर्न र कमजोर अवस्थाहरूमा स्वेच्छाचारी कोड चलाउन कमजोर प्रमाणहरू जस्ता ज्ञात कमजोरीहरू र प्रणालीको गलत कन्फिगरेसनहरूको शोषण गर्दछ।
Hadooken मालवेयर को आक्रमण श्रृंखला
यस आक्रमणमा लगभग दुई समान पेलोडहरू तैनाती समावेश छ: एउटा पाइथनमा लेखिएको र अर्को शेल लिपिको रूपमा। दुबै टाढाको सर्भरहरू ('89.185.85.102' वा '185.174.136.204') बाट Hadooken मालवेयर ल्याउनका लागि जिम्मेवार छन्।
शेल स्क्रिप्ट संस्करणले प्रयोगकर्ता प्रमाणहरू, होस्ट विवरणहरू, र गोप्यहरू जस्ता SSH डाटा समावेश डाइरेक्टरीहरू स्क्यान गर्दछ, ज्ञात सर्भरहरूलाई लक्षित गर्न यो जानकारीको लाभ उठाउँदै। त्यसपछि यो नेटवर्क वा जडान गरिएको वातावरण भित्र पछि सर्छ, Hadooken मालवेयरलाई थप फैलाउँछ।
Hadooken मा दुई मुख्य कम्पोनेन्टहरू हुन्छन्: एउटा क्रिप्टोकरेन्सी माइनर र डिस्ट्रिब्युटेड डिनायल-अफ-सर्भिस (DDoS) बोटनेट सुनामी (उर्फ काइटेन) भनेर चिनिन्छ। मालवेयरले Kubernetes क्लस्टरहरूमा Jenkins र Weblogic सेवाहरूलाई आक्रमण गर्ने इतिहास छ। मालवेयरले विभिन्न अन्तरालहरूमा क्रिप्टो माइनर चलाउन क्रोन कार्यहरू सिर्जना गरेर संक्रमित होस्टमा निरन्तरता सुनिश्चित गर्दछ।
पत्ता लगाउनबाट बच्न, Hadooken ले धेरै रणनीतिहरू प्रयोग गर्दछ, जसमा Base64-इन्कोडेड पेलोडहरू, 'bash' र 'java' जस्ता निर्दोष नामहरूका साथ वैध प्रक्रियाहरूसँग मिलाउन, र यसको हानिकारक गतिविधिको कुनै पनि निशानहरू ढाक्न कार्यान्वयन पछि कलाकृतिहरू मेटाउने सहित।
साइबर अपराध समूहहरूमा जडानहरू
साइबरसुरक्षा अनुसन्धानकर्ताहरूले IP ठेगाना 89.185.85.102 लाई जर्मनीमा होस्टिङ कम्पनी Aeza International LTD (AS210644) अन्तर्गत दर्ता भएको पहिचान गरेका छन्। फेब्रुअरी 2024 मा, यो IP 8220 Gang द्वारा क्रिप्टोकरेन्सी अभियानसँग जोडिएको थियो, जसले Apache Log4j र Atlassian Confluence Server र Data Center मा कमजोरीहरूको शोषण गर्यो।
दोस्रो IP ठेगाना, 185.174.136.204, यद्यपि हाल निष्क्रिय छ, Aeza Group Ltd. (AS216246) सँग पनि सम्बन्धित छ। जुलाई 2024 मा उल्लेख गरिए अनुसार, Aeza मस्को M9 र फ्रान्कफर्टमा दुई डेटा केन्द्रहरूमा सञ्चालन भएको बुलेटप्रुफ होस्टिङ प्रदायक हो। Aeza को द्रुत बृद्धि र परिचालन मोडेल यसको श्रेय रूसी बुलेटप्रुफ होस्टिंग सेवाहरूमा जडान भएका युवा विकासकर्ताहरूको भर्तीलाई दिइएको छ, जसले साइबर आपराधिक गतिविधिहरूको लागि सुरक्षित आश्रय प्रदान गर्दछ।
