ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม มัลแวร์ มัลแวร์ Hadooken

มัลแวร์ Hadooken

โดย Mezo ใน มัลแวร์
แปลเป็น:
ภาษาไทย

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญมัลแวร์ใหม่ที่มุ่งเป้าไปที่ระบบ Linux โดยมุ่งเน้นไปที่การขุดสกุลเงินดิจิทัลที่ผิดกฎหมายและการแพร่กระจายมัลแวร์บอตเน็ต แคมเปญนี้มุ่งเป้าไปที่เซิร์ฟเวอร์ Oracle Weblogic โดยเฉพาะ โดยส่งมัลแวร์ที่มีชื่อว่า Hadooken เมื่อดำเนินการแล้ว Hadooken จะติดตั้งมัลแวร์ Tsunami และเปิดใช้งานโปรแกรมขุดสกุลเงินดิจิทัล การโจมตีนี้ใช้ประโยชน์จากช่องโหว่ที่ทราบกันดีและการกำหนดค่าระบบที่ไม่ถูกต้อง เช่น ข้อมูลรับรองที่อ่อนแอ เพื่อเข้าถึงในเบื้องต้นและรันโค้ดตามอำเภอใจบนอินสแตนซ์ที่มีช่องโหว่

ห่วงโซ่การโจมตีของมัลแวร์ Hadooken

การโจมตีนี้เกี่ยวข้องกับการใช้งานเพย์โหลดที่แทบจะเหมือนกันสองรายการ: รายการหนึ่งเขียนด้วย Python และอีกรายการหนึ่งเขียนด้วยสคริปต์เชลล์ ทั้งสองรายการมีหน้าที่ในการดึงมัลแวร์ Hadooken จากเซิร์ฟเวอร์ระยะไกล ('89.185.85.102' หรือ '185.174.136.204')

นอกจากนี้ เวอร์ชันสคริปต์เชลล์ยังสแกนไดเรกทอรีที่มีข้อมูล SSH เช่น ข้อมูลรับรองผู้ใช้ รายละเอียดโฮสต์ และความลับ โดยใช้ข้อมูลนี้เพื่อกำหนดเป้าหมายเซิร์ฟเวอร์ที่รู้จัก จากนั้นจึงเคลื่อนที่ไปด้านข้างภายในเครือข่ายหรือสภาพแวดล้อมที่เชื่อมต่อ ทำให้มัลแวร์ Hadooken แพร่กระจายไปไกลขึ้น

Hadooken ประกอบด้วยส่วนประกอบหลักสองส่วน ได้แก่ โปรแกรมขุดสกุลเงินดิจิทัลและบอตเน็ต Distributed Denial-of-Service (DDoS) ที่รู้จักกันในชื่อ Tsunami (หรือเรียกอีกอย่างว่า Kaiten) มัลแวร์มีประวัติการโจมตีบริการ Jenkins และ Weblogic ในคลัสเตอร์ Kubernetes นอกจากนี้ มัลแวร์ยังช่วยให้โฮสต์ที่ติดเชื้อยังคงทำงานต่อไปโดยสร้างงาน cron เพื่อเรียกใช้โปรแกรมขุดสกุลเงินดิจิทัลในช่วงเวลาต่างๆ

เพื่อหลีกเลี่ยงการตรวจพบ Hadooken ใช้กลวิธีต่างๆ มากมาย รวมถึงเพย์โหลดที่เข้ารหัส Base64 การปลอมแปลงเพย์โหลดของนักขุดด้วยชื่อที่ไม่เป็นพิษเป็นภัย เช่น "bash" และ "java" เพื่อผสมผสานกับกระบวนการที่ถูกต้องตามกฎหมาย และการลบสิ่งแปลกปลอมหลังจากการดำเนินการเพื่อปกปิดร่องรอยของกิจกรรมที่เป็นอันตราย

การเชื่อมต่อกับกลุ่มอาชญากรรมทางไซเบอร์

นักวิจัยด้านความปลอดภัยไซเบอร์ได้ระบุว่าที่อยู่ IP 89.185.85.102 ได้รับการจดทะเบียนในเยอรมนีภายใต้บริษัทโฮสติ้ง Aeza International LTD (AS210644) ในเดือนกุมภาพันธ์ 2024 ที่อยู่ IP นี้เชื่อมโยงกับแคมเปญสกุลเงินดิจิทัลโดยกลุ่ม 8220 ซึ่งใช้ประโยชน์จากช่องโหว่ใน Apache Log4j และ Atlassian Confluence Server และ Data Center

ที่อยู่ IP ที่สอง 185.174.136.204 แม้ว่าจะไม่ได้ใช้งานในปัจจุบัน แต่ก็ยังเชื่อมโยงกับ Aeza Group Ltd. (AS216246) อีกด้วย ตามที่ระบุไว้ในเดือนกรกฎาคม 2024 Aeza เป็นผู้ให้บริการโฮสติ้งที่น่าเชื่อถือซึ่งมีการดำเนินงานในมอสโกว์ M9 และศูนย์ข้อมูลสองแห่งในแฟรงก์เฟิร์ต การเติบโตอย่างรวดเร็วและรูปแบบการดำเนินงานของ Aeza นั้นมาจากการสรรหานักพัฒนารุ่นใหม่ที่เชื่อมโยงกับบริการโฮสติ้งที่น่าเชื่อถือของรัสเซีย ซึ่งเป็นแหล่งหลบภัยที่ปลอดภัยสำหรับกิจกรรมทางอาชญากรรมทางไซเบอร์

มาแรง

ข้อผิดพลาด ERR_SOCKET_NOT_CONNECTED

ปัญหา
Google Chrome เป็นเบราว์เซอร์ที่ใช้กันอย่างแพร่หลาย แต่เช่นเดียวกับซอฟต์แวร์อื่นๆ บางครั้ง Google Chrome อาจแสดงข้อผิดพลาดที่รบกวนประสบการณ์การท่องเว็บของคุณ ข้อผิดพลาดดังกล่าวคือ...

เข้าชมมากที่สุด

'Geek Squad' อีเมลหลอกลวง

ฟิชชิ่ง, สแปม
37,715
Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล เช่น รายละเอียดบัตรเครดิต ที่อยู่อีเมล และแม้แต่หมายเลขประกันสังคม ในบทความนี้ เราจะพูดถึงตัวการหลอกลวง หน้าตาเป็นอย่างไร อีเมลปลอมมาจากไหน ผู้หลอกลวงต้องการอะไร...

ป๊อปอัป "iPhone ของคุณถูกแฮ็ก"

แอดแวร์
31,484
เนื่องจากเทคโนโลยีถูกรวมเข้ากับชีวิตประจำวันของเราอย่างมาก อาชญากรไซเบอร์จึงค้นหาวิธีใหม่ๆ ในการใช้ประโยชน์จากช่องโหว่ด้วยเจตนาร้าย การหลอกลวงที่พบบ่อยอย่างหนึ่งที่ผู้ใช้ iPhone...

'หากคุณอายุ 18 ปี แตะอนุญาต' ป๊อปอัป

ข้อความเตือนปลอม
29,325
ป๊อปอัป 'หากคุณอายุ 18 ปี แตะอนุญาต' เป็นโฆษณาป๊อปอัปประเภทหนึ่งที่ปรากฏบนหน้าจอของผู้ใช้เมื่อเรียกดูอินเทอร์เน็ต ป๊อปอัปเหล่านี้สามารถสร้างความตื่นตระหนกให้กับผู้ใช้ได้พอสมควร เนื่องจากพวกเขากระตุ้นให้พวกเขาคลิกที่ปุ่ม "อนุญาต" เพื่อใช้เว็บไซต์ที่กำลังเปิดอยู่ต่อไป ป๊อปอัปเหล่านี้เชื่อมโยงกับโปรแกรมที่ไม่พึงประสงค์ เช่น แอดแวร์ ซึ่งอาจทำให้เกิดปัญหาที่สำคัญสำหรับผู้ใช้ ป๊อปอัป...
กำลังโหลด...