Zlonamerna programska oprema Hadooken

Strokovnjaki za kibernetsko varnost so odkrili novo kampanjo zlonamerne programske opreme, namenjeno sistemom Linux, ki se osredotoča na nezakonito rudarjenje kriptovalut in širjenje zlonamerne programske opreme botnetov. Ta kampanja izrecno cilja na strežnike Oracle Weblogic in zagotavlja različico zlonamerne programske opreme z imenom Hadooken. Ko se izvede, Hadooken namesti zlonamerno programsko opremo Tsunami in zažene kripto rudar. Napad izkorišča dobro znane ranljivosti in napačne konfiguracije sistema, kot so šibke poverilnice, za pridobitev začetnega dostopa in izvajanje poljubne kode na ranljivih instancah.

Veriga napadov zlonamerne programske opreme Hadooken

Ta napad vključuje uporabo dveh skoraj identičnih uporabnih obremenitev: enega, napisanega v Pythonu, drugega pa kot lupinskega skripta. Oba sta odgovorna za pridobivanje zlonamerne programske opreme Hadooken iz oddaljenih strežnikov ('89.185.85.102' ali '185.174.136.204').

Različica lupinskega skripta dodatno pregleduje imenike, ki vsebujejo podatke SSH, kot so uporabniške poverilnice, podrobnosti o gostitelju in skrivnosti, ter te informacije izkorišča za ciljanje znanih strežnikov. Nato se bočno premika v omrežju ali povezanih okoljih in tako naprej širi zlonamerno programsko opremo Hadooken.

Hadooken je sestavljen iz dveh glavnih komponent: rudarja kriptovalut in botneta Distributed Denial-of-Service (DDoS), znanega kot Tsunami (aka Kaiten). Zlonamerna programska oprema je v preteklosti napadala storitve Jenkins in Weblogic v gručah Kubernetes. Zlonamerna programska oprema prav tako zagotavlja obstojnost na okuženem gostitelju z ustvarjanjem opravil cron za zagon kripto rudarja v različnih intervalih.

Da bi se izognil odkrivanju, Hadooken uporablja več taktik, vključno s koristnimi obremenitvami, kodiranimi z Base64, prikrivanjem koristnih obremenitev rudarjev z neškodljivimi imeni, kot sta 'bash' in 'java', da se zlijejo z zakonitimi procesi, in brisanjem artefaktov po izvedbi, da se prikrijejo vse sledi njegove škodljive dejavnosti.

Povezave s skupinami kibernetskega kriminala

Raziskovalci kibernetske varnosti so ugotovili, da je naslov IP 89.185.85.102 registriran v Nemčiji pod podjetjem za gostovanje Aeza International LTD (AS210644). Februarja 2024 je bil ta IP povezan s kampanjo kriptovalut skupine 8220 Gang, ki je izkoriščala ranljivosti v strežnikih Apache Log4j in Atlassian Confluence Server and Data Center.

Drugi naslov IP, 185.174.136.204, je, čeprav trenutno neaktiven, prav tako povezan z Aeza Group Ltd. (AS216246). Kot je bilo ugotovljeno julija 2024, je Aeza neprebojni ponudnik gostovanja z operacijami v Moskvi M9 in dvema podatkovnima središčema v Frankfurtu. Aezino hitro rast in operativni model pripisujejo zaposlovanju mladih razvijalcev, povezanih z ruskimi neprebojnimi storitvami gostovanja, ki zagotavljajo varna zatočišča za kibernetske kriminalne dejavnosti.