Хадоокен Малваре

Стручњаци за сајбер безбедност открили су нову кампању злонамерног софтвера усмерену на Линук системе, фокусирајући се на илегално рударење криптовалута и ширење ботнет малвера. Ова кампања експлицитно циља на Орацле Веблогиц сервере, испоручујући варијанту малвера под називом Хадоокен. Када се изврши, Хадоокен инсталира малвер Тсунами и покреће крипто рудар. Напад користи добро познате рањивости и погрешне конфигурације система, као што су слаби акредитиви, да би добио почетни приступ и покренуо произвољни код на рањивим инстанцама.

Ланац напада Хадоокен малвера

Овај напад укључује примену два скоро идентична корисна оптерећења: један написан у Питхон-у, а други као схелл скрипта. Оба су одговорна за преузимање Хадоокен малвера са удаљених сервера („89.185.85.102“ или „185.174.136.204“).

Верзија схелл скрипте додатно скенира директоријуме који садрже ССХ податке, као што су кориснички акредитиви, детаљи о хосту и тајне, користећи ове информације за циљање познатих сервера. Затим се креће бочно унутар мреже или повезаних окружења, ширећи даље Хадоокен малвер.

Хадоокен се састоји од две главне компоненте: рудара криптовалута и ботнет-а са дистрибуираним ускраћивањем услуге (ДДоС) познатог као Тсунами (ака Каитен). Малвер има историју напада на Јенкинс и Веблогиц услуге у Кубернетес кластерима. Малвер такође обезбеђује постојаност на зараженом хосту тако што креира црон послове за покретање крипто рудара у различитим интервалима.

Да би избегао откривање, Хадоокен користи неколико тактика, укључујући Басе64 кодиране корисне терете, прикривање корисних података рудара безазленим именима као што су 'басх' и 'јава' да би се уклопили у легитимне процесе и брисање артефаката након извршења како би покрили све трагове своје штетне активности.

Везе са групама сајбер криминала

Истраживачи сајбер безбедности идентификовали су ИП адресу 89.185.85.102 као регистровану у Немачкој под хостинг компанијом Аеза Интернатионал ЛТД (АС210644). У фебруару 2024, овај ИП је повезан са кампањом криптовалута групе 8220, која је искористила рањивости у Апацхе Лог4ј и Атлассиан Цонфлуенце серверу и центру података.

Друга ИП адреса, 185.174.136.204, иако тренутно неактивна, такође је повезана са Аеза Гроуп Лтд. (АС216246). Као што је наведено у јулу 2024., Аеза је непробојни хостинг провајдер са операцијама у Москви М9 и два дата центра у Франкфурту. Аезин брз раст и оперативни модел приписују се регрутовању младих програмера повезаних са руским непробојним хостинг услугама, које пружају сигурно уточиште за активности сајбер криминала.