Вредоносное ПО Hadooken

Эксперты по кибербезопасности обнаружили новую вредоносную кампанию, нацеленную на системы Linux, которая фокусируется на незаконном майнинге криптовалют и распространении вредоносного ПО ботнетов. Эта кампания явно нацелена на серверы Oracle Weblogic, доставляя вариант вредоносного ПО под названием Hadooken. После выполнения Hadooken устанавливает вредоносное ПО Tsunami и запускает майнер криптовалют. Атака использует известные уязвимости и неправильные конфигурации системы, такие как слабые учетные данные, для получения начального доступа и запуска произвольного кода на уязвимых экземплярах.

Цепочка атак вредоносного ПО Hadooken

Эта атака включает в себя развертывание двух почти идентичных полезных нагрузок: одна написана на Python, а другая — как скрипт оболочки. Оба отвечают за извлечение вредоносного ПО Hadooken с удаленных серверов ('89.185.85.102' или '185.174.136.204').

Версия скрипта оболочки дополнительно сканирует каталоги, содержащие данные SSH, такие как учетные данные пользователя, данные хоста и секреты, используя эту информацию для нацеливания на известные серверы. Затем он перемещается горизонтально в пределах сети или подключенных сред, распространяя вредоносное ПО Hadooken дальше.

Hadooken состоит из двух основных компонентов: майнера криптовалюты и ботнета Distributed Denial-of-Service (DDoS), известного как Tsunami (он же Kaiten). Вредоносная программа имеет историю атак на службы Jenkins и Weblogic в кластерах Kubernetes. Вредоносная программа также обеспечивает сохранение на зараженном хосте, создавая задания cron для запуска майнера криптовалюты с различными интервалами.

Чтобы избежать обнаружения, Hadooken использует несколько тактик, включая закодированные в Base64 полезные нагрузки, маскировку полезных нагрузок майнеров под безобидными именами вроде «bash» и «java», чтобы они не выделялись среди легитимных процессов, а также удаление артефактов после выполнения, чтобы скрыть любые следы своей вредоносной активности.

Связи с киберпреступными группами

Исследователи кибербезопасности идентифицировали IP-адрес 89.185.85.102 как зарегистрированный в Германии под хостинговой компанией Aeza International LTD (AS210644). В феврале 2024 года этот IP-адрес был связан с криптовалютной кампанией 8220 Gang, которая эксплуатировала уязвимости в Apache Log4j и Atlassian Confluence Server and Data Center.

Второй IP-адрес, 185.174.136.204, хотя в настоящее время неактивен, также связан с Aeza Group Ltd. (AS216246). Как было отмечено в июле 2024 года, Aeza — это провайдер абузоустойчивого хостинга с операциями на трассе М9 в Москве и двумя центрами обработки данных во Франкфурте. Быстрый рост и операционная модель Aeza объясняются набором молодых разработчиков, связанных с российскими службами абузоустойчивого хостинга, которые предоставляют безопасные убежища для киберпреступной деятельности.