Hadooken ਮਾਲਵੇਅਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਨੇ ਲੀਨਕਸ ਪ੍ਰਣਾਲੀਆਂ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਇੱਕ ਨਵੀਂ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਦੀ ਖੋਜ ਕੀਤੀ ਹੈ, ਗੈਰ-ਕਾਨੂੰਨੀ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਿੰਗ ਅਤੇ ਬੋਟਨੈੱਟ ਮਾਲਵੇਅਰ ਨੂੰ ਫੈਲਾਉਣ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ। ਇਹ ਮੁਹਿੰਮ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਓਰੇਕਲ ਵੈਬਲੌਗਿਕ ਸਰਵਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ, ਹੈਡੁਕੇਨ ਨਾਮਕ ਮਾਲਵੇਅਰ ਰੂਪ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ। ਇੱਕ ਵਾਰ ਐਗਜ਼ੀਕਿਊਟ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਹੈਡੂਕੇਨ ਸੁਨਾਮੀ ਮਾਲਵੇਅਰ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ ਅਤੇ ਇੱਕ ਕ੍ਰਿਪਟੋ ਮਾਈਨਰ ਲਾਂਚ ਕਰਦਾ ਹੈ। ਹਮਲਾ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਕਮਜ਼ੋਰ ਸਥਿਤੀਆਂ 'ਤੇ ਮਨਮਾਨੇ ਕੋਡ ਚਲਾਉਣ ਲਈ ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਅਤੇ ਸਿਸਟਮ ਦੀਆਂ ਗਲਤ ਸੰਰਚਨਾਵਾਂ, ਜਿਵੇਂ ਕਿ ਕਮਜ਼ੋਰ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ।

ਹੈਡੋਕਨ ਮਾਲਵੇਅਰ ਦੀ ਅਟੈਕ ਚੇਨ

ਇਸ ਹਮਲੇ ਵਿੱਚ ਦੋ ਲਗਭਗ ਇੱਕੋ ਜਿਹੇ ਪੇਲੋਡਾਂ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ: ਇੱਕ ਪਾਈਥਨ ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ ਹੈ ਅਤੇ ਦੂਜਾ ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟ ਦੇ ਰੂਪ ਵਿੱਚ। ਦੋਵੇਂ ਰਿਮੋਟ ਸਰਵਰਾਂ ('89.185.85.102' ਜਾਂ '185.174.136.204') ਤੋਂ ਹੈਡੋਕੇਨ ਮਾਲਵੇਅਰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹਨ।

ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟ ਸੰਸਕਰਣ ਇਸ ਤੋਂ ਇਲਾਵਾ ਜਾਣੇ-ਪਛਾਣੇ ਸਰਵਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਇਸ ਜਾਣਕਾਰੀ ਦਾ ਲਾਭ ਉਠਾਉਂਦੇ ਹੋਏ, SSH ਡੇਟਾ, ਜਿਵੇਂ ਕਿ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਹੋਸਟ ਵੇਰਵੇ, ਅਤੇ ਭੇਦ ਵਾਲੀਆਂ ਡਾਇਰੈਕਟਰੀਆਂ ਨੂੰ ਵੀ ਸਕੈਨ ਕਰਦਾ ਹੈ। ਇਹ ਫਿਰ ਬਾਅਦ ਵਿੱਚ ਨੈੱਟਵਰਕ ਜਾਂ ਕਨੈਕਟ ਕੀਤੇ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਅੱਗੇ ਵਧਦਾ ਹੈ, ਹੈਡੋਕੇਨ ਮਾਲਵੇਅਰ ਨੂੰ ਅੱਗੇ ਫੈਲਾਉਂਦਾ ਹੈ।

ਹਾਡੂਕੇਨ ਵਿੱਚ ਦੋ ਮੁੱਖ ਭਾਗ ਹੁੰਦੇ ਹਨ: ਇੱਕ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਰ ਅਤੇ ਇੱਕ ਡਿਸਟ੍ਰੀਬਿਊਟਿਡ ਡੈਨਾਇਲ-ਆਫ-ਸਰਵਿਸ (DDoS) ਬੋਟਨੈੱਟ ਜਿਸਨੂੰ ਸੁਨਾਮੀ (ਉਰਫ਼ ਕੈਟਨ) ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਦਾ ਕੁਬਰਨੇਟਸ ਕਲੱਸਟਰਾਂ ਵਿੱਚ ਜੇਨਕਿਨਸ ਅਤੇ ਵੈਬਲੌਗਿਕ ਸੇਵਾਵਾਂ 'ਤੇ ਹਮਲਾ ਕਰਨ ਦਾ ਇਤਿਹਾਸ ਹੈ। ਮਾਲਵੇਅਰ ਵੱਖ-ਵੱਖ ਅੰਤਰਾਲਾਂ 'ਤੇ ਕ੍ਰਿਪਟੋ ਮਾਈਨਰ ਨੂੰ ਚਲਾਉਣ ਲਈ ਕ੍ਰੋਨ ਨੌਕਰੀਆਂ ਬਣਾ ਕੇ ਸੰਕਰਮਿਤ ਹੋਸਟ 'ਤੇ ਨਿਰੰਤਰਤਾ ਨੂੰ ਵੀ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ।

ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ, ਹੈਡੂਕੇਨ ਕਈ ਚਾਲਾਂ ਨੂੰ ਵਰਤਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਬੇਸ64-ਏਨਕੋਡਡ ਪੇਲੋਡ, ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨਾਲ ਰਲਣ ਲਈ 'ਬਾਸ਼' ਅਤੇ 'ਜਾਵਾ' ਵਰਗੇ ਨਿਰਦੋਸ਼ ਨਾਵਾਂ ਨਾਲ ਮਾਈਨਰ ਪੇਲੋਡਾਂ ਨੂੰ ਭੇਸ ਵਿੱਚ ਰੱਖਣਾ, ਅਤੇ ਇਸਦੀ ਨੁਕਸਾਨਦੇਹ ਗਤੀਵਿਧੀ ਦੇ ਕਿਸੇ ਵੀ ਨਿਸ਼ਾਨ ਨੂੰ ਕਵਰ ਕਰਨ ਲਈ ਲਾਗੂ ਕਰਨ ਤੋਂ ਬਾਅਦ ਕਲਾਤਮਕ ਚੀਜ਼ਾਂ ਨੂੰ ਮਿਟਾਉਣਾ ਸ਼ਾਮਲ ਹੈ।

ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸਮੂਹਾਂ ਨਾਲ ਕਨੈਕਸ਼ਨ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ IP ਪਤੇ 89.185.85.102 ਦੀ ਪਛਾਣ ਹੋਸਟਿੰਗ ਕੰਪਨੀ Aeza International LTD (AS210644) ਦੇ ਅਧੀਨ ਜਰਮਨੀ ਵਿੱਚ ਰਜਿਸਟਰ ਕੀਤੇ ਜਾਣ ਵਜੋਂ ਕੀਤੀ ਹੈ। ਫਰਵਰੀ 2024 ਵਿੱਚ, ਇਸ ਆਈਪੀ ਨੂੰ 8220 ਗੈਂਗ ਦੁਆਰਾ ਇੱਕ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮੁਹਿੰਮ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਸੀ, ਜਿਸ ਨੇ ਅਪਾਚੇ ਲੌਗ4j ਅਤੇ ਐਟਲਸੀਅਨ ਕੰਫਲੂਏਂਸ ਸਰਵਰ ਅਤੇ ਡੇਟਾ ਸੈਂਟਰ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਸੀ।

ਦੂਜਾ IP ਐਡਰੈੱਸ, 185.174.136.204, ਹਾਲਾਂਕਿ ਵਰਤਮਾਨ ਵਿੱਚ ਨਾ-ਸਰਗਰਮ ਹੈ, ਇਹ ਵੀ Aeza Group Ltd. (AS216246) ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ। ਜਿਵੇਂ ਕਿ ਜੁਲਾਈ 2024 ਵਿੱਚ ਨੋਟ ਕੀਤਾ ਗਿਆ ਹੈ, Aeza ਇੱਕ ਬੁਲੇਟਪਰੂਫ ਹੋਸਟਿੰਗ ਪ੍ਰਦਾਤਾ ਹੈ ਜਿਸ ਵਿੱਚ ਮਾਸਕੋ M9 ਅਤੇ ਫ੍ਰੈਂਕਫਰਟ ਵਿੱਚ ਦੋ ਡਾਟਾ ਸੈਂਟਰ ਹਨ। Aeza ਦੇ ਤੇਜ਼ ਵਿਕਾਸ ਅਤੇ ਸੰਚਾਲਨ ਮਾਡਲ ਨੂੰ ਰੂਸੀ ਬੁਲੇਟਪਰੂਫ ਹੋਸਟਿੰਗ ਸੇਵਾਵਾਂ ਨਾਲ ਜੁੜੇ ਨੌਜਵਾਨ ਡਿਵੈਲਪਰਾਂ ਦੀ ਭਰਤੀ ਦਾ ਕਾਰਨ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਸਾਈਬਰ ਅਪਰਾਧੀ ਗਤੀਵਿਧੀਆਂ ਲਈ ਸੁਰੱਖਿਅਤ ਪਨਾਹ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।