Hadooken Malware

Ekspertët e sigurisë kibernetike kanë zbuluar një fushatë të re malware që synon sistemet Linux, duke u fokusuar në minierat e paligjshme të kriptomonedhave dhe përhapjen e malware botnet. Kjo fushatë synon në mënyrë eksplicite serverët e Oracle Weblogic, duke ofruar një variant malware të quajtur Hadooken. Pasi të ekzekutohet, Hadooken instalon malware-in Tsunami dhe lëshon një minator kripto. Sulmi shfrytëzon dobësitë e njohura dhe konfigurimet e gabuara të sistemit, të tilla si kredencialet e dobëta, për të fituar akses fillestar dhe për të ekzekutuar kode arbitrare në raste të cenueshme.

Zinxhiri i Sulmit të Malware Hadooken

Ky sulm përfshin vendosjen e dy ngarkesave pothuajse identike: njëra e shkruar në Python dhe tjetra si një skript shell. Të dy janë përgjegjës për marrjen e malware Hadooken nga serverët në distancë ('89.185.85.102' ose '185.174.136.204').

Versioni i skriptit të guaskës skanon gjithashtu drejtoritë që përmbajnë të dhëna SSH, të tilla si kredencialet e përdoruesit, detajet e hostit dhe sekretet, duke shfrytëzuar këtë informacion për të synuar serverët e njohur. Më pas ai lëviz anash brenda rrjetit ose mjediseve të lidhura, duke përhapur më tej malware-in Hadooken.

Hadooken përbëhet nga dy komponentë kryesorë: një minator i kriptomonedhës dhe një botnet i Mohimit të Shpërndarjes së Shërbimit (DDoS) i njohur si Tsunami (aka Kaiten). Malware ka një histori sulmi ndaj shërbimeve Jenkins dhe Weblogic në grupimet Kubernetes. Malware gjithashtu siguron qëndrueshmëri në hostin e infektuar duke krijuar punë në cron për të drejtuar kriptominerin në intervale të ndryshme.

Për të shmangur zbulimin, Hadooken përdor disa taktika, duke përfshirë ngarkesat e koduara me Base64, maskimin e ngarkesave të minatorëve me emra të padëmshëm si 'bash' dhe 'java' për t'u përzier me proceset legjitime dhe fshirjen e objekteve pas ekzekutimit për të mbuluar çdo gjurmë të aktivitetit të tij të dëmshëm.

Lidhjet me grupet e krimit kibernetik

Studiuesit e sigurisë kibernetike kanë identifikuar adresën IP 89.185.85.102 si të regjistruar në Gjermani nën kompaninë pritëse Aeza International LTD (AS210644). Në shkurt 2024, kjo IP u lidh me një fushatë kriptomonedhe nga Banda 8220, e cila shfrytëzoi dobësitë në Apache Log4j dhe Atlassian Confluence Server dhe Data Center.

Adresa e dytë IP, 185.174.136.204, megjithëse aktualisht joaktive, është gjithashtu e lidhur me Aeza Group Ltd. (AS216246). Siç u përmend në korrik 2024, Aeza është një ofrues pritës antiplumb me operacione në Moskë M9 dhe dy qendra të të dhënave në Frankfurt. Rritja e shpejtë dhe modeli operacional i Aeza i atribuohen rekrutimit të zhvilluesve të rinj të lidhur me shërbimet ruse të pritjes antiplumb, të cilat ofrojnë strehë të sigurta për aktivitetet kriminale kibernetike.