Hadooken malware

Odborníci na kybernetickú bezpečnosť objavili novú malvérovú kampaň zameranú na linuxové systémy, ktorá sa zameriava na nelegálnu ťažbu kryptomien a šírenie malvéru botnetov. Táto kampaň sa explicitne zameriava na servery Oracle Weblogic a poskytuje variant malvéru s názvom Hadooken. Po spustení Hadooken nainštaluje malvér Tsunami a spustí krypto baníkov. Útok využíva známe zraniteľnosti a nesprávne konfigurácie systému, ako sú slabé prihlasovacie údaje, na získanie počiatočného prístupu a spustenie ľubovoľného kódu na zraniteľných inštanciách.

Útočný reťazec malvéru Hadooken

Tento útok zahŕňa nasadenie dvoch takmer identických dát: jeden napísaný v Pythone a druhý ako skript shellu. Obaja sú zodpovední za načítanie malvéru Hadooken zo vzdialených serverov („89.185.85.102“ alebo „185.174.136.204“).

Verzia skriptu shell dodatočne skenuje adresáre obsahujúce údaje SSH, ako sú používateľské poverenia, podrobnosti o hostiteľovi a tajomstvá, pričom tieto informácie využíva na zacielenie na známe servery. Potom sa pohybuje laterálne v rámci siete alebo pripojených prostredí a šíri malvér Hadooken ďalej.

Hadooken pozostáva z dvoch hlavných komponentov: ťažiara kryptomien a botnetu DDoS (Distributed Denial-of-Service) známeho ako Tsunami (aka Kaiten). Malvér už v minulosti útočil na služby Jenkins a Weblogic v klastroch Kubernetes. Malvér tiež zaisťuje pretrvávanie na infikovanom hostiteľovi vytváraním úloh cron na spustenie kryptomeny v rôznych intervaloch.

Aby sa vyhol detekcii, Hadooken používa niekoľko taktík, vrátane užitočných zaťažení zakódovaných v Base64, maskovania užitočných zaťažení baníkov neškodnými názvami ako „bash“ a „java“, aby sa spojili s legitímnymi procesmi, a odstraňovania artefaktov po vykonaní, aby sa zakryli akékoľvek stopy po škodlivej činnosti.

Prepojenie so skupinami pre počítačovú kriminalitu

Výskumníci v oblasti kybernetickej bezpečnosti identifikovali IP adresu 89.185.85.102 ako adresu registrovanú v Nemecku pod hostiteľskou spoločnosťou Aeza International LTD (AS210644). Vo februári 2024 bola táto IP prepojená s kryptomenovou kampaňou 8220 Gang, ktorá zneužila zraniteľné miesta v Apache Log4j a Atlassian Confluence Server and Data Center.

Druhá IP adresa, 185.174.136.204, aj keď je momentálne neaktívna, je tiež spojená s Aeza Group Ltd. (AS216246). Ako bolo uvedené v júli 2024, Aeza je nepriestrelný poskytovateľ hostingu s prevádzkou v Moskve M9 a dvoma dátovými centrami vo Frankfurte. Rýchly rast a prevádzkový model spoločnosti Aeza sa pripisuje náboru mladých vývojárov napojených na ruské nepriestrelné hostingové služby, ktoré poskytujú bezpečné útočisko pre kyberzločinecké aktivity.