Gli esperti di cybersecurity hanno scoperto una nuova campagna di malware che prende di mira gli ambienti Linux per condurre il mining illecito di criptovalute e distribuire malware botnet. Questa attività si concentra specificamente sul server Oracle Weblogic e mira a consegnare una variante di malware chiamata Hadooken, secondo quanto riferito dalla società di sicurezza cloud Aqua. Quando Hadooken viene eseguito, rilascia un malware chiamato Tsunami e installa un crypto miner. Le catene di attacco sfruttano vulnerabilità di sicurezza note e configurazioni errate, come credenziali deboli, per ottenere un accesso iniziale e eseguire codice arbitrario su istanze vulnerabili.
Questo processo è realizzato attraverso il lancio di due payload quasi identici, uno scritto in Python e l'altro in uno shell script, entrambi responsabili di recuperare il malware Hadooken da un server remoto. Inoltre, la versione shell script tenta di iterare su vari directory contenenti dati SSH, come credenziali utente e informazioni sugli host, utilizzando queste informazioni per attaccare server noti. Successivamente, si muove lateralmente attraverso l'organizzazione o gli ambienti connessi per diffondere ulteriormente il malware Hadooken.
Hadooken è composto da due componenti:
un crypto miner e una botnet per attacchi DDoS chiamata Tsunami, nota anche come Kaiten. Questo malware ha una storia di targeting dei servizi Jenkins e Weblogic distribuiti in cluster Kubernetes. Inoltre, il malware stabilisce la persistenza sull'host creando cron job per eseguire periodicamente il crypto miner a frequenze variabili. Le capacità di evasione della difesa di Hadooken sono realizzate attraverso l'uso di payload codificati in Base64, il rilascio dei payload del miner con nomi innocui come "bash" e "java" per confondersi con i processi legittimi, e la cancellazione degli artefatti dopo l'esecuzione per nascondere eventuali segni di attività dannosa.
Aqua ha rilevato che l'indirizzo IP 89.185.85[.]102 è registrato in Germania sotto la compagnia di hosting Aeza International LTD, con un rapporto precedente di Uptycs del febbraio 2024 che lo collega a una campagna di criptovalute della gang 8220, che ha sfruttato vulnerabilità in Apache Log4j e Atlassian Confluence Server e Data Center. Il secondo indirizzo IP, 185.174.136[.]204, attualmente inattivo, è anch'esso collegato a Aeza Group Ltd. Come evidenziato da Qurium e EU DisinfoLab nel luglio 2024, Aeza è un fornitore di servizi di hosting bulletproof con una presenza a Mosca e in due data center a Francoforte.
Gli esperti hanno osservato che il modus operandi di Aeza e la sua rapida crescita possono essere spiegati dal reclutamento di giovani sviluppatori affiliati a fornitori di hosting bulletproof in Russia, offrendo rifugio al cybercrimine.