Hadooken-malware

Cybersecurity-experts hebben een nieuwe malwarecampagne ontdekt die gericht is op Linux-systemen, met de focus op illegale cryptocurrency mining en het verspreiden van botnet-malware. Deze campagne richt zich expliciet op de Oracle Weblogic-servers en levert een malwarevariant genaamd Hadooken. Na uitvoering installeert Hadooken de Tsunami- malware en start een cryptominer. De aanval maakt gebruik van bekende kwetsbaarheden en verkeerde systeemconfiguraties, zoals zwakke inloggegevens, om initiële toegang te krijgen en willekeurige code uit te voeren op kwetsbare instanties.

De aanvalsketen van de Hadooken-malware

Deze aanval omvat het implementeren van twee vrijwel identieke payloads: één geschreven in Python en de andere als shellscript. Beide zijn verantwoordelijk voor het ophalen van de Hadooken-malware van externe servers ('89.185.85.102' of '185.174.136.204').

De shell script-versie scant bovendien mappen met SSH-gegevens, zoals gebruikersreferenties, hostgegevens en geheimen, en gebruikt deze informatie om bekende servers te targeten. Vervolgens beweegt het zich lateraal binnen het netwerk of verbonden omgevingen, waardoor de Hadooken-malware verder verspreid wordt.

Hadooken bestaat uit twee hoofdcomponenten: een cryptocurrency-miner en een Distributed Denial-of-Service (DDoS)-botnet dat bekendstaat als Tsunami (ook bekend als Kaiten). De malware heeft een geschiedenis van aanvallen op Jenkins- en Weblogic-services in Kubernetes-clusters. De malware zorgt ook voor persistentie op de geïnfecteerde host door cron-jobs te maken om de cryptominer met wisselende tussenpozen uit te voeren.

Om detectie te omzeilen, gebruikt Hadooken verschillende tactieken, waaronder Base64-gecodeerde payloads, het vermommen van miner-payloads met onschuldige namen zoals 'bash' en 'java' om op te gaan in legitieme processen, en het verwijderen van artefacten na uitvoering om alle sporen van schadelijke activiteiten te verbergen.

Connecties met cybercriminele groepen

Cybersecurity-onderzoekers hebben het IP-adres 89.185.85.102 geïdentificeerd als geregistreerd in Duitsland onder het hostingbedrijf Aeza International LTD (AS210644). In februari 2024 werd dit IP-adres gekoppeld aan een cryptocurrency-campagne van de 8220 Gang, die misbruik maakte van kwetsbaarheden in Apache Log4j en Atlassian Confluence Server en Data Center.

Het tweede IP-adres, 185.174.136.204, is momenteel weliswaar inactief, maar is ook gekoppeld aan Aeza Group Ltd. (AS216246). Zoals opgemerkt in juli 2024, is Aeza een bulletproof hostingprovider met activiteiten in Moskou M9 en twee datacenters in Frankfurt. De snelle groei en het operationele model van Aeza worden toegeschreven aan de werving van jonge ontwikkelaars die verbonden zijn met Russische bulletproof hostingdiensten, die veilige havens bieden voor cybercriminele activiteiten.