Hadooken Malware

Natuklasan ng mga eksperto sa cybersecurity ang isang bagong malware campaign na naglalayong sa mga Linux system, na nakatuon sa ilegal na pagmimina ng cryptocurrency at pagkalat ng botnet malware. Tahasang tina-target ng campaign na ito ang mga server ng Oracle Weblogic, na naghahatid ng variant ng malware na pinangalanang Hadooken. Kapag naisakatuparan, ini-install ni Hadooken ang Tsunami malware at naglulunsad ng isang crypto miner. Sinasamantala ng pag-atake ang mga kilalang kahinaan at maling pagsasaayos ng system, tulad ng mahihinang mga kredensyal, upang makakuha ng paunang pag-access at magpatakbo ng arbitrary na code sa mga mahinang pagkakataon.

Ang Attack Chain ng Hadooken Malware

Ang pag-atake na ito ay nagsasangkot ng pag-deploy ng dalawang halos magkaparehong payload: ang isa ay nakasulat sa Python at ang isa bilang isang shell script. Parehong responsable para sa pagkuha ng Hadooken malware mula sa mga malalayong server ('89.185.85.102' o '185.174.136.204').

Ang bersyon ng script ng shell ay nag-scan din ng mga direktoryo na naglalaman ng data ng SSH, tulad ng mga kredensyal ng user, mga detalye ng host, at mga lihim, na ginagamit ang impormasyong ito upang i-target ang mga kilalang server. Pagkatapos ay gumagalaw ito sa gilid sa loob ng network o mga konektadong kapaligiran, na nagpapakalat pa ng Hadooken malware.

Ang Hadooken ay binubuo ng dalawang pangunahing bahagi: isang cryptocurrency miner at isang Distributed Denial-of-Service (DDoS) botnet na kilala bilang Tsunami (aka Kaiten). Ang malware ay may kasaysayan ng pag-atake sa mga serbisyo ng Jenkins at Weblogic sa mga kumpol ng Kubernetes. Tinitiyak din ng malware ang pagtitiyaga sa infected na host sa pamamagitan ng paglikha ng mga cron job para patakbuhin ang crypto miner sa iba't ibang agwat.

Para makaiwas sa pagtuklas, gumagamit ang Hadooken ng ilang taktika, kabilang ang Base64-encoded payloads, disguising miner payloads na may mga hindi nakapipinsalang pangalan tulad ng 'bash' at 'java' para ihalo sa mga lehitimong proseso, at pagtanggal ng mga artifact pagkatapos ng execution upang masakop ang anumang bakas ng nakakapinsalang aktibidad nito.

Mga Koneksyon sa Cybercrime Groups

Natukoy ng mga mananaliksik sa cybersecurity ang IP address na 89.185.85.102 bilang nakarehistro sa Germany sa ilalim ng hosting company na Aeza International LTD (AS210644). Noong Pebrero 2024, ang IP na ito ay na-link sa isang cryptocurrency campaign ng 8220 Gang, na nagsamantala ng mga kahinaan sa Apache Log4j at Atlassian Confluence Server at Data Center.

Ang pangalawang IP address, 185.174.136.204, bagama't kasalukuyang hindi aktibo, ay nauugnay din sa Aeza Group Ltd. (AS216246). Gaya ng nabanggit noong Hulyo 2024, ang Aeza ay isang bulletproof hosting provider na may mga operasyon sa Moscow M9 at dalawang data center sa Frankfurt. Ang mabilis na paglago at modelo ng pagpapatakbo ng Aeza ay nauugnay sa pagre-recruit nito ng mga batang developer na konektado sa mga serbisyo sa pagho-host ng bulletproof ng Russia, na nagbibigay ng mga ligtas na kanlungan para sa mga aktibidad sa cybercriminal.