Hadooken恶意软件

网络安全专家发现了针对 Linux 系统的新恶意软件活动，该活动专注于非法加密货币挖掘和传播僵尸网络恶意软件。此活动明确针对 Oracle Weblogic 服务器，提供名为 Hadooken 的恶意软件变种。一旦执行，Hadooken 就会安装Tsunami恶意软件并启动加密挖掘器。该攻击利用众所周知的漏洞和系统配置错误（例如弱凭据）来获取初始访问权限并在易受攻击的实例上运行任意代码。

Hadooken 恶意软件的攻击链

此次攻击涉及部署两个几乎相同的有效载荷：一个用 Python 编写，另一个作为 shell 脚本。两者都负责从远程服务器（“89.185.85.102”或“185.174.136.204”）获取 Hadooken 恶意软件。

Shell 脚本版本还会扫描包含 SSH 数据（例如用户凭据、主机详细信息和机密）的目录，利用这些信息来定位已知服务器。然后它在网络或连接环境中横向移动，进一步传播 Hadooken 恶意软件。

Hadooken 由两个主要组件组成：一个加密货币挖矿程序和一个分布式拒绝服务 (DDoS) 僵尸网络，称为 Tsunami（又名 Kaiten）。该恶意软件曾攻击过 Kubernetes 集群中的 Jenkins 和 Weblogic 服务。该恶意软件还通过创建 cron 作业以不同的间隔运行加密挖矿程序来确保在受感染主机上的持久性。

为了逃避检测，Hadooken 采用了多种策略，包括 Base64 编码的有效载荷、使用“bash”和“java”等无害名称伪装矿工有效载荷以融入合法进程，以及在执行后删除工件以掩盖其有害活动的任何痕迹。

与网络犯罪集团的联系

网络安全研究人员已确定 IP 地址 89.185.85.102 在德国注册，托管公司为 Aeza International LTD (AS210644)。2024 年 2 月，该 IP 与 8220 Gang 的加密货币活动有关，该活动利用了 Apache Log4j 和 Atlassian Confluence Server and Data Center 中的漏洞。

第二个 IP 地址 185.174.136.204 虽然目前处于非活动状态，但也与 Aeza Group Ltd. (AS216246) 相关联。根据 2024 年 7 月的记录，Aeza 是一家防弹托管服务提供商，在莫斯科 M9 开展业务，在法兰克福设有两个数据中心。Aeza 的快速增长和运营模式归功于其招募与俄罗斯防弹托管服务有关的年轻开发人员，这些服务为网络犯罪活动提供了避风港。