该恶意软件利用的是Oracle Weblogic中的一个已知漏洞,即CVE-2020-14882。该漏洞允许攻击者获得对Weblogic服务器的未经授权访问,并执行任意代码。
安全研究员Assaf Moran表示,“当Hadooken行动被执行时,它会释放一种名为Tsunami的恶意软件,并部署一个加密货币挖矿程序来获取加密货币,如门罗币(XMR)。”
攻击链利用已知的安全漏洞和配置错误,例如弱密码,以获得初始立足点并在易受攻击的实例上执行任意代码。这是通过启动两个几乎相同的有效载荷来完成的,一个用Python编写,另一个是shell脚本,两者都负责从远程服务器(“89.185.85[.]102”或“185.174.136[.]204”)检索Hadooken恶意软件。
Morag进一步表示,“shell脚本版本试图遍历包含SSH数据(如用户凭据、主机信息和秘密)的各种目录,并利用这些信息攻击已知服务器。然后它在组织内或连接的环境中横向移动,以进一步传播Hadooken恶意软件。”
Hadooken勒索软件内置了两个组件,一个加密货币挖矿程序和一个名为Tsunami(又称Kaiten)的分布式拒绝服务(DDoS)僵尸网络,后者有针对部署在Kubernetes集群中的Jenkins和Weblogic服务的攻击历史。
此外,该恶意软件还负责通过在主机上创建cron作业以不同频率定期运行加密货币挖矿程序来建立持久性。
Aqua指出,IP地址89.185.85[.]102在德国注册,隶属于托管公司Aeza International LTD(AS210644),Uptycs在2024年2月的先前报告将其与8220 Gang加密货币活动联系起来,该活动滥用Apache Log4j和Atlassian Confluence Server及数据中心中的漏洞。
第二个IP地址185.174.136[.]204虽然目前处于非活动状态,但也与Aeza Group Ltd.(AS216246)有关。正如Qurium和EU DisinfoLab在2024年7月强调的,Aeza是一家在莫斯科M9和法兰克福的两个数据中心都有业务的防弹托管服务提供商。
研究人员在报告中说:“Aeza的运作方式和快速增长可以通过招募与俄罗斯防弹托管服务提供商有关联的年轻开发者来解释,这些提供商为网络犯罪提供庇护。”
参考来源:https://thehackernews.com/2024/09/new-linux-malware-campaign-exploits.html
