Μια νέα malware συμμορία στοχεύει σε περιβάλλοντα Linux με σκοπό την παράνομη εξόρυξη κρυπτονομισμάτων, εστιάζοντας κυρίως στον Oracle Weblogic server.
Αυτή η κακόβουλη συμμορία έχει σχεδιαστεί για την διανομή κακόβουλου λογισμικού που ονομάζεται Hadooken, σύμφωνα με την εταιρεία ασφάλειας cloud Aqua.
Διαβάστε επίσης: Το PAM του Linux καταχράται για τη δημιουργία backdoors
“Όταν εκτελείται το Hadooken, απελευθερώνει ένα Tsunami malware και ενεργοποιεί έναν miner κρυπτονομισμάτων,” ανέφερε ο ερευνητής ασφαλείας Assaf Moran. Οι αλυσίδες επιθέσεων εκμεταλλεύονται γνωστά τρωτά σημεία και εσφαλμένες ρυθμίσεις, όπως αδύναμα credentials, για να αποκτήσουν πρόσβαση και να εκτελέσουν αυθαίρετο κώδικα.
Αυτό επιτυγχάνεται μέσω της εκκίνησης δύο σχεδόν πανομοιότυπων ωφέλιμων φορτίων (payloads): το ένα είναι γραμμένο σε Python και το άλλο είναι ένα shell script. Και τα δύο είναι υπεύθυνα για την ανάκτηση του κακόβουλου λογισμικού Hadooken από έναν απομακρυσμένο διακομιστή (“89.185.85[.]102” ή “185.174.136[.]204”).
“Επιπλέον, η έκδοση του shell script προσπαθεί να σαρώσει διάφορους καταλόγους που περιέχουν δεδομένα SSH, όπως διαπιστευτήρια χρήστη, πληροφορίες κεντρικού υπολογιστή και μυστικά, και χρησιμοποιεί αυτές τις πληροφορίες για να επιτεθεί σε γνωστούς servers,” δήλωσε ο Moran.
Δείτε περισσότερα: sedexp: Ένα Linux malware που έμεινε κρυφό για δύο χρόνια
Το κακόβουλο λογισμικό (malware) Hadooken κινείται πλευρικά στον οργανισμό ή σε συνδεδεμένα περιβάλλοντα με σκοπό να επεκταθεί. Περιλαμβάνει δύο βασικά στοιχεία: έναν miner κρυπτονομισμάτων και ένα botnet άρνησης υπηρεσίας (DDoS), γνωστό ως Tsunami ή Kaiten, που έχει στοχοποιήσει υπηρεσίες όπως οι Jenkins και Weblogic σε περιβάλλοντα Kubernetes.
Επιπλέον, το Hadooken malware δημιουργεί επιμονή στον κεντρικό υπολογιστή, ρυθμίζοντας θέσεις εργασίας cron για να εκτελεί το crypto miner περιοδικά σε διαφορετικές συχνότητες. Η Aqua ανέφερε ότι η διεύθυνση IP 89.185.85[.]102 είναι καταχωρημένη στη Γερμανία από την εταιρεία Aeza International LTD (AS210644). Μια προηγούμενη αναφορά από την Uptycs το Φεβρουάριο του 2024 συνδέει αυτή τη διεύθυνση με μια εκστρατεία κρυπτονομισμάτων του 8220 Gang, η οποία εκμεταλλεύεται ελαττώματα στον Apache Log4j και στον Atlassian Confluence Server και Data Center.
Η δεύτερη διεύθυνση IP 185.174.136[.]204, αν και αυτή τη στιγμή είναι ανενεργή, συνδέεται επίσης με την Aeza Group Ltd. (AS216246). Όπως επισημάνθηκε από το Qurium και το EU DisinfoLab τον Ιούλιο του 2024, η Aeza είναι πάροχος υπηρεσιών φιλοξενίας που διαθέτει αλεξίσφαιρη υποδομή και έχει παρουσία στο Moscow M9, καθώς και σε δύο κέντρα δεδομένων στη Φρανκφούρτη.
Διαβάστε ακόμη: Η ευπάθεια SLUBStick Linux επιτρέπει στους hackers να αποκτήσουν πλήρη έλεγχο του συστήματος
«Η λειτουργία του Aeza και η ταχεία ανάπτυξή του μπορούν να αποδοθούν στην πρόσληψη νέων προγραμματιστών που συνεργάζονται με αλεξίσφαιρους παρόχους φιλοξενίας στη Ρωσία, οι οποίοι προσφέρουν καταφύγιο στο κυβερνοέγκλημα», αναφέρουν οι ερευνητές στην έκθεσή τους.
Πηγή: thehackernews
