Phần mềm độc hại Hadooken

Các chuyên gia an ninh mạng đã phát hiện ra một chiến dịch phần mềm độc hại mới nhắm vào các hệ thống Linux, tập trung vào việc khai thác tiền điện tử bất hợp pháp và phát tán phần mềm độc hại botnet. Chiến dịch này nhắm mục tiêu rõ ràng vào các máy chủ Oracle Weblogic, cung cấp một biến thể phần mềm độc hại có tên là Hadooken. Sau khi thực thi, Hadooken cài đặt phần mềm độc hại Tsunami và khởi chạy trình khai thác tiền điện tử. Cuộc tấn công khai thác các lỗ hổng bảo mật và cấu hình hệ thống không đúng, chẳng hạn như thông tin xác thực yếu, để có được quyền truy cập ban đầu và chạy mã tùy ý trên các phiên bản dễ bị tấn công.

Chuỗi tấn công của phần mềm độc hại Hadooken

Cuộc tấn công này liên quan đến việc triển khai hai tải trọng gần như giống hệt nhau: một được viết bằng Python và một là một tập lệnh shell. Cả hai đều chịu trách nhiệm lấy phần mềm độc hại Hadooken từ các máy chủ từ xa ('89.185.85.102' hoặc '185.174.136.204').

Phiên bản tập lệnh shell cũng quét các thư mục chứa dữ liệu SSH, chẳng hạn như thông tin đăng nhập của người dùng, chi tiết máy chủ và bí mật, tận dụng thông tin này để nhắm mục tiêu vào các máy chủ đã biết. Sau đó, nó di chuyển theo chiều ngang trong mạng hoặc các môi trường được kết nối, phát tán phần mềm độc hại Hadooken xa hơn.

Hadooken bao gồm hai thành phần chính: một trình khai thác tiền điện tử và một botnet Từ chối dịch vụ phân tán (DDoS) được gọi là Tsunami (hay còn gọi là Kaiten). Phần mềm độc hại này có tiền sử tấn công các dịch vụ Jenkins và Weblogic trong các cụm Kubernetes. Phần mềm độc hại này cũng đảm bảo tính bền bỉ trên máy chủ bị nhiễm bằng cách tạo các công việc cron để chạy trình khai thác tiền điện tử ở các khoảng thời gian khác nhau.

Để tránh bị phát hiện, Hadooken sử dụng một số chiến thuật, bao gồm các tải trọng được mã hóa Base64, ngụy trang các tải trọng khai thác bằng những cái tên vô hại như 'bash' và 'java' để hòa nhập với các quy trình hợp pháp và xóa các hiện vật sau khi thực thi để che giấu mọi dấu vết về hoạt động có hại của nó.

Kết nối với các nhóm tội phạm mạng

Các nhà nghiên cứu an ninh mạng đã xác định địa chỉ IP 89.185.85.102 được đăng ký tại Đức theo công ty lưu trữ Aeza International LTD (AS210644). Vào tháng 2 năm 2024, IP này đã được liên kết với một chiến dịch tiền điện tử của 8220 Gang, khai thác lỗ hổng trong Apache Log4j và Atlassian Confluence Server and Data Center.

Địa chỉ IP thứ hai, 185.174.136.204, mặc dù hiện không hoạt động, cũng được liên kết với Aeza Group Ltd. (AS216246). Như đã lưu ý vào tháng 7 năm 2024, Aeza là nhà cung cấp dịch vụ lưu trữ chống đạn có hoạt động tại Moscow M9 và hai trung tâm dữ liệu tại Frankfurt. Sự phát triển nhanh chóng và mô hình hoạt động của Aeza là nhờ vào việc tuyển dụng các nhà phát triển trẻ có liên quan đến các dịch vụ lưu trữ chống đạn của Nga, nơi cung cấp nơi ẩn náu an toàn cho các hoạt động của tội phạm mạng.