Hadooken Kötü Amaçlı Yazılım

Siber güvenlik uzmanları, Linux sistemlerini hedef alan, yasadışı kripto para madenciliğine odaklanan ve botnet kötü amaçlı yazılımlarını yayan yeni bir kötü amaçlı yazılım kampanyası keşfetti. Bu kampanya açıkça Oracle Weblogic sunucularını hedef alıyor ve Hadooken adlı bir kötü amaçlı yazılım çeşidi sunuyor. Hadooken yürütüldüğünde Tsunami kötü amaçlı yazılımını kuruyor ve bir kripto madencisi başlatıyor. Saldırı, zayıf kimlik bilgileri gibi iyi bilinen güvenlik açıklarını ve sistem yanlış yapılandırmalarını kullanarak ilk erişimi elde ediyor ve güvenlik açığı olan örneklerde keyfi kod çalıştırıyor.

Hadooken Kötü Amaçlı Yazılımının Saldırı Zinciri

Bu saldırı, neredeyse aynı olan iki yükün dağıtılmasını içerir: biri Python'da, diğeri ise kabuk betiği olarak yazılmıştır. Her ikisi de Hadooken kötü amaçlı yazılımını uzak sunuculardan ('89.185.85.102' veya '185.174.136.204') almaktan sorumludur.

Kabuk betiği sürümü ayrıca kullanıcı kimlik bilgileri, ana bilgisayar ayrıntıları ve sırlar gibi SSH verilerini içeren dizinleri tarar ve bu bilgileri bilinen sunucuları hedeflemek için kullanır. Daha sonra ağ veya bağlı ortamlarda yanal olarak hareket ederek Hadooken kötü amaçlı yazılımını daha da yayar.

Hadooken iki ana bileşenden oluşur: bir kripto para madencisi ve Tsunami (diğer adıyla Kaiten) olarak bilinen bir Dağıtılmış Hizmet Reddi (DDoS) botnet'i. Kötü amaçlı yazılımın Kubernetes kümelerindeki Jenkins ve Weblogic hizmetlerine saldırma geçmişi vardır. Kötü amaçlı yazılım ayrıca, kripto madencisini farklı aralıklarla çalıştırmak için cron işleri oluşturarak enfekte olmuş ana bilgisayarda kalıcılığı sağlar.

Hadooken, tespit edilmekten kaçınmak için Base64 kodlu yükler, madenci yüklerini 'bash' ve 'java' gibi zararsız isimlerle gizleyerek meşru işlemlerle harmanlamak ve zararlı etkinliğinin izlerini örtmek için yürütmeden sonra eserleri silmek gibi çeşitli taktikler kullanır.

Siber Suç Gruplarıyla Bağlantılar

Siber güvenlik araştırmacıları, 89.185.85.102 IP adresinin Aeza International LTD (AS210644) barındırma şirketi altında Almanya'da kayıtlı olduğunu tespit etti. Şubat 2024'te bu IP, Apache Log4j ve Atlassian Confluence Server ve Data Center'daki güvenlik açıklarından yararlanan 8220 Gang tarafından düzenlenen bir kripto para birimi kampanyasıyla ilişkilendirildi.

İkinci IP adresi, 185.174.136.204, şu anda etkin olmasa da, Aeza Group Ltd. (AS216246) ile ilişkilidir. Temmuz 2024'te belirtildiği gibi, Aeza, Moskova M9'da operasyonları ve Frankfurt'ta iki veri merkezi bulunan kurşun geçirmez bir barındırma sağlayıcısıdır. Aeza'nın hızlı büyümesi ve operasyonel modeli, siber suç faaliyetleri için güvenli limanlar sağlayan Rus kurşun geçirmez barındırma hizmetlerine bağlı genç geliştiricilerin işe alınmasına atfedilmektedir.