Hadoken Malware

Eksperci ds. cyberbezpieczeństwa odkryli nową kampanię malware skierowaną na systemy Linux, skupiającą się na nielegalnym wydobywaniu kryptowalut i rozprzestrzenianiu złośliwego oprogramowania typu botnet. Ta kampania jest wyraźnie ukierunkowana na serwery Oracle Weblogic, dostarczając wariant malware o nazwie Hadooken. Po uruchomieniu Hadooken instaluje malware Tsunami i uruchamia kryptokoparkę. Atak wykorzystuje dobrze znane luki w zabezpieczeniach i błędne konfiguracje systemu, takie jak słabe dane uwierzytelniające, aby uzyskać początkowy dostęp i uruchomić dowolny kod na podatnych na ataki instancjach.

Łańcuch ataków złośliwego oprogramowania Hadooken

Ten atak polega na wdrożeniu dwóch niemal identycznych ładunków: jednego napisanego w Pythonie i drugiego jako skrypt powłoki. Oba są odpowiedzialne za pobieranie złośliwego oprogramowania Hadooken ze zdalnych serwerów („89.185.85.102” lub „185.174.136.204”).

Wersja skryptu powłoki dodatkowo skanuje katalogi zawierające dane SSH, takie jak poświadczenia użytkownika, szczegóły hosta i sekrety, wykorzystując te informacje do atakowania znanych serwerów. Następnie porusza się poziomo w obrębie sieci lub połączonych środowisk, rozprzestrzeniając dalej złośliwe oprogramowanie Hadooken.

Hadooken składa się z dwóch głównych komponentów: koparki kryptowalut i botnetu Distributed Denial-of-Service (DDoS) znanego jako Tsunami (aka Kaiten). Złośliwe oprogramowanie ma historię atakowania usług Jenkins i Weblogic w klastrach Kubernetes. Złośliwe oprogramowanie zapewnia również trwałość na zainfekowanym hoście, tworząc zadania cron, aby uruchamiać koparkę kryptowalut w różnych odstępach czasu.

Aby uniknąć wykrycia, Hadooken stosuje kilka taktyk, w tym ładunki zakodowane w formacie Base64, maskowanie ładunków kryptograficznych pod niewinnymi nazwami, takimi jak „bash” i „java”, aby wtopić się w tłum legalnych procesów, a także usuwanie artefaktów po uruchomieniu w celu zatarcia wszelkich śladów swojej szkodliwej aktywności.

Połączenia z grupami cyberprzestępczymi

Badacze cyberbezpieczeństwa zidentyfikowali adres IP 89.185.85.102 jako zarejestrowany w Niemczech przez firmę hostingową Aeza International LTD (AS210644). W lutym 2024 r. ten adres IP został powiązany z kampanią kryptowalutową prowadzoną przez 8220 Gang, która wykorzystywała luki w zabezpieczeniach Apache Log4j oraz Atlassian Confluence Server and Data Center.

Drugi adres IP, 185.174.136.204, choć obecnie nieaktywny, jest również powiązany z Aeza Group Ltd. (AS216246). Jak zauważono w lipcu 2024 r., Aeza jest dostawcą hostingu bulletproof z operacjami w Moscow M9 i dwoma centrami danych we Frankfurcie. Szybki wzrost i model operacyjny Aeza przypisuje się rekrutacji młodych programistów połączonych z rosyjskimi usługami hostingu bulletproof, które zapewniają bezpieczne schronienie dla cyberprzestępców.