హడూకెన్ మాల్వేర్

చట్టవిరుద్ధమైన క్రిప్టోకరెన్సీ మైనింగ్ మరియు బాట్‌నెట్ మాల్వేర్ వ్యాప్తిపై దృష్టి సారించి, Linux సిస్టమ్‌లను లక్ష్యంగా చేసుకుని కొత్త మాల్వేర్ ప్రచారాన్ని సైబర్‌ సెక్యూరిటీ నిపుణులు కనుగొన్నారు. ఈ ప్రచారం ఒరాకిల్ వెబ్‌లాజిక్ సర్వర్‌లను స్పష్టంగా లక్ష్యంగా చేసుకుంటుంది, హడూకెన్ అనే మాల్వేర్ వేరియంట్‌ను పంపిణీ చేస్తుంది. అమలు చేసిన తర్వాత, హడూకెన్ సునామీ మాల్వేర్‌ను ఇన్‌స్టాల్ చేస్తుంది మరియు క్రిప్టో మైనర్‌ను ప్రారంభించింది. దాడి ప్రారంభ ప్రాప్యతను పొందడానికి మరియు హాని కలిగించే సందర్భాలలో ఏకపక్ష కోడ్‌ను అమలు చేయడానికి బలహీనమైన ఆధారాలు వంటి ప్రసిద్ధ దుర్బలత్వాలను మరియు సిస్టమ్ తప్పుగా కాన్ఫిగరేషన్‌లను ఉపయోగించుకుంటుంది.

హడూకెన్ మాల్వేర్ యొక్క అటాక్ చైన్

ఈ దాడిలో దాదాపు ఒకేలాంటి రెండు పేలోడ్‌లను అమర్చడం ఉంటుంది: ఒకటి పైథాన్‌లో మరియు మరొకటి షెల్ స్క్రిప్ట్‌గా వ్రాయబడింది. రిమోట్ సర్వర్‌ల ('89.185.85.102' లేదా '185.174.136.204') నుండి Hadooken మాల్‌వేర్‌ను పొందేందుకు ఇద్దరూ బాధ్యత వహిస్తారు.

షెల్ స్క్రిప్ట్ వెర్షన్ వినియోగదారు ఆధారాలు, హోస్ట్ వివరాలు మరియు రహస్యాలు వంటి SSH డేటాను కలిగి ఉన్న డైరెక్టరీలను అదనంగా స్కాన్ చేస్తుంది, తెలిసిన సర్వర్‌లను లక్ష్యంగా చేసుకోవడానికి ఈ సమాచారాన్ని ప్రభావితం చేస్తుంది. ఇది నెట్‌వర్క్ లేదా కనెక్ట్ చేయబడిన పరిసరాలలో పార్శ్వంగా కదులుతుంది, హడూకెన్ మాల్వేర్‌ను మరింత వ్యాప్తి చేస్తుంది.

హడూకెన్ రెండు ప్రధాన భాగాలను కలిగి ఉంటుంది: ఒక క్రిప్టోకరెన్సీ మైనర్ మరియు సునామీ (అకా కైటెన్) అని పిలువబడే డిస్ట్రిబ్యూటెడ్ డినియల్-ఆఫ్-సర్వీస్ (DDoS) బోట్‌నెట్. మాల్వేర్ కుబెర్నెటెస్ క్లస్టర్‌లలోని జెంకిన్స్ మరియు వెబ్‌లాజిక్ సేవలపై దాడి చేసిన చరిత్రను కలిగి ఉంది. మాల్వేర్ వివిధ విరామాలలో క్రిప్టో మైనర్‌ను అమలు చేయడానికి క్రాన్ జాబ్‌లను సృష్టించడం ద్వారా సోకిన హోస్ట్‌పై నిలకడను నిర్ధారిస్తుంది.

గుర్తించకుండా తప్పించుకోవడానికి, Hadooken అనేక వ్యూహాలను ఉపయోగిస్తుంది, వీటిలో Base64-ఎన్‌కోడ్ చేయబడిన పేలోడ్‌లు, మైనర్ పేలోడ్‌లను 'బాష్' మరియు 'జావా' వంటి హానిచేయని పేర్లతో మరుగుపరచడం చట్టబద్ధమైన ప్రక్రియలతో కలపడం మరియు దాని హానికరమైన కార్యాచరణ యొక్క ఏవైనా జాడలను కవర్ చేయడానికి అమలు చేసిన తర్వాత కళాఖండాలను తొలగించడం.

సైబర్ క్రైమ్ గ్రూపులకు కనెక్షన్లు

సైబర్‌ సెక్యూరిటీ పరిశోధకులు IP చిరునామా 89.185.85.102 జర్మనీలో హోస్టింగ్ కంపెనీ ఏజా ఇంటర్నేషనల్ LTD (AS210644) కింద రిజిస్టర్ చేయబడినట్లు గుర్తించారు. ఫిబ్రవరి 2024లో, ఈ IP 8220 గ్యాంగ్ ద్వారా క్రిప్టోకరెన్సీ ప్రచారానికి లింక్ చేయబడింది, ఇది Apache Log4j మరియు అట్లాసియన్ కన్‌ఫ్లూయెన్స్ సర్వర్ మరియు డేటా సెంటర్‌లోని దుర్బలత్వాలను ఉపయోగించుకుంది.

రెండవ IP చిరునామా, 185.174.136.204, ప్రస్తుతం నిష్క్రియంగా ఉన్నప్పటికీ, Aeza Group Ltd. (AS216246)తో కూడా అనుబంధించబడింది. జూలై 2024లో గుర్తించినట్లుగా, Aeza మాస్కో M9లో కార్యకలాపాలు మరియు ఫ్రాంక్‌ఫర్ట్‌లోని రెండు డేటా సెంటర్‌లతో బుల్లెట్‌ప్రూఫ్ హోస్టింగ్ ప్రొవైడర్. Aeza యొక్క వేగవంతమైన వృద్ధి మరియు కార్యాచరణ నమూనా, సైబర్ నేర కార్యకలాపాలకు సురక్షితమైన స్వర్గధామాలను అందించే రష్యన్ బుల్లెట్ ప్రూఫ్ హోస్టింగ్ సేవలకు అనుసంధానించబడిన యువ డెవలపర్‌ల నియామకానికి ఆపాదించబడింది.