Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch phần mềm độc hại mới nhắm vào môi trường Linux để tiến hành khai thác tiền điện tử bất hợp pháp và phân phối phần mềm độc hại botnet.
Hoạt động này, đặc biệt chỉ ra máy chủ Oracle Weblogic, được thiết kế để cung cấp một chủng phần mềm độc hại có tên là Hadooken, theo công ty bảo mật đám mây Aqua.
"Khi Hadooken được thực thi, nó sẽ thả một phần mềm độc hại Tsunami và triển khai một công cụ khai thác tiền điện tử", nhà nghiên cứu bảo mật Assaf Moran cho biết.
Các chuỗi tấn công khai thác các lỗ hổng bảo mật đã biết và cấu hình sai, chẳng hạn như thông tin xác thực yếu, để có được chỗ đứng ban đầu và thực thi mã tùy ý trên các trường hợp nhạy cảm.
Điều này được thực hiện bằng cách khởi chạy hai tải trọng gần như giống hệt nhau, một được viết bằng Python và một tập lệnh shell, cả hai đều chịu trách nhiệm truy xuất phần mềm độc hại Hadooken từ một máy chủ từ xa ("89.185.85 [.] 102" hoặc "185.174.136[.] 204").
"Ngoài ra, phiên bản tập lệnh shell cố gắng lặp lại trên các thư mục khác nhau có chứa dữ liệu SSH (như thông tin đăng nhập người dùng, thông tin máy chủ và bí mật) và sử dụng thông tin này để tấn công các máy chủ đã biết", Morag nói.
Hadooken được nhúng với hai thành phần, một công cụ khai thác tiền điện tử và một botnet từ chối dịch vụ phân tán (DDoS) được gọi là Tsunami (hay còn gọi là Kaiten), có lịch sử nhắm mục tiêu Jenkins và các dịch vụ Weblogic được triển khai trong các cụm Kubernetes.
Hơn nữa, phần mềm độc hại chịu trách nhiệm thiết lập sự bền bỉ trên máy chủ bằng cách tạo các công việc cron để chạy công cụ khai thác tiền điện tử định kỳ ở các tần suất khác nhau.
Khả năng trốn tránh phòng thủ của Hadooken được thực hiện thông qua sự kết hợp của các chiến thuật liên quan đến việc sử dụng tải trọng được mã hóa Base64, thả tải trọng của thợ mỏ dưới những cái tên vô hại như "bash" và "java" để trộn lẫn với các quy trình hợp pháp và xóa hiện vật sau khi thực hiện để che giấu bất kỳ dấu hiệu hoạt động độc hại nào.
Aqua lưu ý rằng địa chỉ IP 89.185.85 [.] 102 được đăng ký tại Đức theo công ty lưu trữ Aeza International LTD (AS210644), với một báo cáo trước đó từ Uptycs vào tháng 2 năm 2024 liên kết nó với một chiến dịch tiền điện tử 8220 Gang lạm dụng các lỗ hổng trong Apache Log4j và Atlassian Confluence Server and Data Center.
Địa chỉ IP thứ hai 185.174.136[.] 204, trong khi hiện không hoạt động, cũng được liên kết với Aeza Group Ltd. (AS216246). Theo Qurium và EU DisinfoLab vào tháng 7 năm 2024, Aeza là nhà cung cấp dịch vụ lưu trữ chống đạn với sự hiện diện tại Moscow M9 và tại hai trung tâm dữ liệu ở Frankfurt.