Hadooken Malware

Cybersäkerhetsexperter har upptäckt en ny skadlig programvara riktad mot Linux-system, med fokus på illegal brytning av kryptovalutor och spridning av skadlig programvara från botnät. Den här kampanjen riktar sig uttryckligen till Oracle Weblogic-servrarna och levererar en variant av skadlig programvara som heter Hadooken. När den är avrättad, installerar Hadooken Tsunami- skadlig programvara och startar en kryptominer. Attacken utnyttjar välkända sårbarheter och systemfelkonfigurationer, såsom svaga referenser, för att få initial åtkomst och köra godtycklig kod på sårbara instanser.

Attackkedjan för Hadooken Malware

Denna attack innebär att två nästan identiska nyttolaster distribueras: en skriven i Python och den andra som ett skalskript. Båda är ansvariga för att hämta Hadooken malware från fjärrservrar ('89.185.85.102' eller '185.174.136.204').

Skalskriptversionen skannar dessutom kataloger som innehåller SSH-data, såsom användaruppgifter, värddetaljer och hemligheter, och utnyttjar denna information för att rikta in sig på kända servrar. Den rör sig sedan i sidled inom nätverket eller anslutna miljöer och sprider Hadooken skadlig kod ytterligare.

Hadooken består av två huvudkomponenter: en gruvarbetare för kryptovaluta och ett DDoS-botnät (Distributed Denial-of-Service) som kallas Tsunami (aka Kaiten). Skadlig programvara har en historia av att attackera Jenkins och Weblogic-tjänster i Kubernetes-kluster. Skadlig programvara säkerställer också uthållighet på den infekterade värden genom att skapa cron-jobb för att köra kryptominer med olika intervall.

För att undvika upptäckt använder Hadooken flera taktiker, inklusive Base64-kodade nyttolaster, döljer gruvarbetares nyttolaster med ofarliga namn som "bash" och "java" för att smälta in i legitima processer, och raderar artefakter efter exekvering för att täcka alla spår av dess skadliga aktivitet.

Anslutningar till cyberbrottsgrupper

Cybersäkerhetsforskare har identifierat IP-adressen 89.185.85.102 som registrerad i Tyskland under värdföretaget Aeza International LTD (AS210644). I februari 2024 länkades denna IP till en kryptovalutakampanj av 8220 Gang, som utnyttjade sårbarheter i Apache Log4j och Atlassian Confluence Server and Data Center.

Den andra IP-adressen, 185.174.136.204, även om den för närvarande är inaktiv, är också associerad med Aeza Group Ltd. (AS216246). Som noterades i juli 2024 är Aeza en skottsäker värdleverantör med verksamhet i Moskva M9 och två datacenter i Frankfurt. Aezas snabba tillväxt och operativa modell tillskrivs dess rekrytering av unga utvecklare kopplade till ryska skottsäkra värdtjänster, som ger säkra tillflyktsorter för cyberkriminella aktiviteter.