Hadooken Malware

Os especialistas em segurança cibernética descobriram uma nova campanha de malware voltada para sistemas Linux, com foco na mineração ilegal de cripto-moedas e na disseminação de malware de botnet. Esta campanha tem como alvo explícito os servidores Oracle Weblogic, entregando uma variante de malware chamada Hadooken. Uma vez executado, o Hadooken instala o malware Tsunami e inicia um minerador de cripto-moedas. O ataque explora vulnerabilidades bem conhecidas e configurações incorretas do sistema, como credenciais fracas, para obter acesso inicial e executar código arbitrário em instâncias vulneráveis.

A Cadeia de Ataque do Hadooken Malware 

Este ataque envolve a implantação de duas cargas úteis quase idênticas: uma escrita em Python e a outra como um script de shell. Ambas são responsáveis por buscar o malware Hadooken de servidores remotos ('89.185.85.102' ou '185.174.136.204').

A versão do script shell também escaneia diretórios contendo dados SSH, como credenciais de usuário, detalhes do host e segredos, aproveitando essas informações para mirar em servidores conhecidos. Em seguida, ele se move lateralmente dentro da rede ou ambientes conectados, espalhando ainda mais o malware Hadooken.

O Hadooken consiste em dois componentes principais: um minerador de cripto-moedas e um botnet Distributed Denial-of-Service (DDoS) conhecido como Tsunami (também conhecido como Kaiten). O malware tem um histórico de ataques aos serviços Jenkins e Weblogic em clusters Kubernetes. O malware também garante persistência no host infectado criando tarefas cron para executar o minerador de criptomoedas em intervalos variados.

Para evitar a detecção, o Hadooken emprega várias táticas, incluindo cargas úteis codificadas em Base64, disfarçando cargas úteis de mineradores com nomes inócuos como "bash" e "java" para se misturar a processos legítimos e excluindo artefatos após a execução para cobrir quaisquer vestígios de sua atividade prejudicial.

Conexões com Grupos de Crimes Cibernéticos

Os pesquisadores de segurança cibernética identificaram o endereço de IP 89.185.85.102 como sendo registrado na Alemanha sob a empresa de hospedagem Aeza International LTD (AS210644). Em fevereiro de 2024, esse IP foi vinculado a uma campanha de cripto-moeda pela 8220 Gang, que explorou vulnerabilidades no Apache Log4j e no Atlassian Confluence Server and Data Center.

O segundo o endereço de IP, 185.174.136.204, embora atualmente inativo, também está associado à Aeza Group Ltd. (AS216246). Conforme observado em julho de 2024, a Aeza é uma provedora de hospedagem à prova de balas com operações em Moscou M9 e dois data centers em Frankfurt. O rápido crescimento e o modelo operacional da Aeza são atribuídos ao recrutamento de jovens desenvolvedores conectados a serviços de hospedagem à prova de balas russos, que fornecem refúgios seguros para atividades cibercriminosas.