Шкідливе програмне забезпечення Hadooken

Фахівці з кібербезпеки виявили нову кампанію зловмисного програмного забезпечення, спрямовану на системи Linux, зосереджену на незаконному видобутку криптовалюти та поширенні зловмисного програмного забезпечення ботнетів. Ця кампанія явно націлена на сервери Oracle Weblogic, доставляючи варіант шкідливого програмного забезпечення під назвою Hadooken. Після виконання Hadooken встановлює зловмисне програмне забезпечення Tsunami та запускає криптомайнер. Атака використовує добре відомі вразливості та неправильні конфігурації системи, такі як слабкі облікові дані, щоб отримати початковий доступ і запустити довільний код на вразливих екземплярах.

Ланцюжок атак зловмисного програмного забезпечення Hadooken

Ця атака передбачає розгортання двох майже ідентичних корисних навантажень: одного, написаного на Python, а іншого як сценарій оболонки. Обидва відповідають за отримання шкідливих програм Hadooken із віддалених серверів ('89.185.85.102' або '185.174.136.204').

Версія сценарію оболонки додатково сканує каталоги, що містять дані SSH, такі як облікові дані користувача, відомості про хост і секрети, використовуючи цю інформацію для націлювання на відомі сервери. Потім він переміщується латерально в межах мережі або підключених середовищ, поширюючи шкідливе програмне забезпечення Hadooken далі.

Hadooken складається з двох основних компонентів: майнера криптовалюти та ботнету розподіленої відмови в обслуговуванні (DDoS), відомого як Tsunami (він же Kaiten). Зловмисне програмне забезпечення має історію атак на служби Jenkins і Weblogic у кластерах Kubernetes. Зловмисне програмне забезпечення також забезпечує стійкість на зараженому хості, створюючи завдання cron для запуску криптомайнера через різні проміжки часу.

Щоб уникнути виявлення, Hadooken використовує кілька тактик, зокрема корисні навантаження, закодовані Base64, маскування корисних навантажень майнера такими нешкідливими назвами, як «bash» і «java», щоб злитися з легітимними процесами, і видалення артефактів після виконання, щоб приховати будь-які сліди його шкідливої діяльності.

Зв’язки з кіберзлочинними групами

Дослідники з кібербезпеки ідентифікували IP-адресу 89.185.85.102 як зареєстровану в Німеччині під хостинговою компанією Aeza International LTD (AS210644). У лютому 2024 року цю IP-адресу було пов’язано з криптовалютною кампанією банди 8220 Gang, яка використовувала вразливості в Apache Log4j і Atlassian Confluence Server and Data Center.

Друга IP-адреса, 185.174.136.204, хоча наразі неактивна, також пов’язана з Aeza Group Ltd. (AS216246). Як зазначалося в липні 2024 року, Aeza є куленепробивним хостинг-провайдером, який працює в Москві M9 і двох центрах обробки даних у Франкфурті. Швидке зростання та операційна модель Aeza пов’язані із залученням молодих розробників, пов’язаних із російськими куленепробивними хостинговими службами, які надають безпечні гавані для кіберзлочинців.