Виявлено нову шкідливу кампанію, спрямовану на Linux-середовища для незаконного майнінгу криптовалюти та поширення малварі для ботнетів. Так, хакери атакують сервери Oracle Weblogic, використовуючи новий шкідник Hadooken.

Як пишуть фахівці компанії Aqua Security, які виявили цю активність, в атаках хакери покладаються на відомі вразливості і неправильні конфігурації (наприклад слабкі облікові дані), щоб проникнути в систему і виконати довільний код.

Для цього запускаються два практично ідентичні корисні навантаження: одне написане на Python, а інше являє собою шелл-скрипт. Обидва відповідають за отримання малварі Hadooken з віддаленого сервера (89.185.85[.]102 або 185.174.136[.]204).

“Після виконання Hadooken доставляє шкідливу програму Tsunami і розгортає криптовалютний майнер, – розповідають фахівці. – Крім того, шелл-скрипт намагається переглядати різні каталоги, що містять дані SSH (включно з обліковими даними, інформацією про хост і секрети), і використовує цю інформацію для атаки на відомі сервери. Потім здійснюється бічне переміщення мережею організації або підключеними середовищами для подальшого поширення Hadooken”.

Як згадано вище, Hadooken містить два компоненти: криптовалютний майнер і малварь для DDoS-ботнету, відому як Tsunami (він же Kaiten), яка раніше атакувала сервіси Jenkins і Weblogic, розгорнуті в кластерах Kubernetes. Також шкідник закріплюється на хості, створюючи cron-завдання з рандомізованими іменами для періодичного виконання майнера з різною частотою.

Дослідники зазначають, що Hadooken перейменовує шкідливі сервіси в «-bash» або «-java», щоб маскуватися під легітимні процеси і злитися зі звичайною активністю. Крім того, шахрайство стирає системні журнали, щоб приховати сліди своєї присутності, що ускладнює виявлення та аналіз.

За даними Aqua Security, згадана адреса 89.185.85[.]102 зареєстрована в Німеччині на хостингову компанію Aeza International LTD (AS210644), і раніше аналітики компанії Uptycs пов’язували її з угрупуванням 8220, яке експлуатувало вразливості в Apache Log4j і Atlassian Confluence Server and Data Center.

Також на цьому сервері було виявлено PowerShell-скрипт, що завантажує здирницький малварь Mallox для Windows.

«Згідно з деякими повідомленнями, цю IP-адресу використовують для розповсюдження програми-здирника, тому можна припустити, що зловмисники націлені і на ендпоінти Windows для здійснення атак з метою отримання викупу, і на сервери Linux, щоб експлуатувати ПЗ, яке часто використовується великими організаціями для запуску бекдорів та криптомінерів», – підсумовують експерти.

Друга IP-адреса 185.174.136[.]204, яка наразі неактивна, так само виявилася пов’язаною з Aeza Group Ltd. (AS216246).