Hadooken Malware

Experții în securitate cibernetică au descoperit o nouă campanie de malware care vizează sistemele Linux, concentrându-se pe minarea ilegală a criptomonedei și pe răspândirea malware-ului botnet. Această campanie vizează în mod explicit serverele Oracle Weblogic, oferind o variantă de malware numită Hadooken. Odată executat, Hadooken instalează malware-ul Tsunami și lansează un cripto miner. Atacul exploatează vulnerabilități binecunoscute și configurări greșite ale sistemului, cum ar fi acreditările slabe, pentru a obține acces inițial și a rula cod arbitrar pe instanțe vulnerabile.

Lanțul de atac al programului malware Hadooken

Acest atac implică implementarea a două încărcături utile aproape identice: una scrisă în Python și cealaltă ca un script shell. Ambii sunt responsabili pentru preluarea malware-ului Hadooken de pe serverele de la distanță („89.185.85.102” sau „185.174.136.204”).

Versiunea de script shell scanează în plus directoare care conțin date SSH, cum ar fi acreditările utilizatorului, detaliile gazdei și secretele, utilizând aceste informații pentru a viza serverele cunoscute. Apoi se deplasează lateral în rețea sau în mediile conectate, răspândind și mai mult malware-ul Hadooken.

Hadooken constă din două componente principale: un miner de criptomonede și un botnet Distributed Denial-of-Service (DDoS) cunoscut sub numele de Tsunami (aka Kaiten). Malware-ul are un istoric de atac al serviciilor Jenkins și Weblogic din clusterele Kubernetes. Malware-ul asigură, de asemenea, persistența pe gazda infectată prin crearea de joburi cron pentru a rula criptominerul la intervale diferite.

Pentru a evita detectarea, Hadooken folosește mai multe tactici, inclusiv încărcături utile codificate în Base64, ascunderea încărcăturilor utile de mineri cu nume inofensive precum „bash” și „java” pentru a se combina cu procesele legitime și ștergerea artefactelor după execuție pentru a acoperi orice urmă a activității sale dăunătoare.

Conexiuni la grupuri de criminalitate cibernetică

Cercetătorii în domeniul securității cibernetice au identificat adresa IP 89.185.85.102 ca fiind înregistrată în Germania sub compania de găzduire Aeza International LTD (AS210644). În februarie 2024, această IP a fost legată de o campanie de criptomonede de către 8220 Gang, care a exploatat vulnerabilități în Apache Log4j și Atlassian Confluence Server și Data Center.

A doua adresă IP, 185.174.136.204, deși în prezent inactivă, este, de asemenea, asociată cu Aeza Group Ltd. (AS216246). După cum s-a menționat în iulie 2024, Aeza este un furnizor de găzduire antiglonț cu operațiuni în Moscova M9 și două centre de date în Frankfurt. Creșterea rapidă și modelul operațional al Aeza sunt atribuite recrutării de tineri dezvoltatori conectați la serviciile rusești de găzduire antiglonț, care oferă refugii sigure pentru activitățile criminale cibernetice.