Cybersecurity-onderzoekers hebben een nieuwe malwarecampagne ontdekt die Linux-omgevingen als doelwit heeft en zich bezighoudt met illegale cryptocurrency-mining.
De activiteit, die specifiek gericht is op de Oracle Weblogic-server, is ontworpen om malware te verspreiden die bekend staat als Hadookenaldus cloudbeveiligingsbedrijf Aqua.
“Wanneer Hadooken wordt uitgevoerd, laat het een Tsunami-malware achter en wordt er een cryptominer ingezet”, aldus beveiligingsonderzoeker Assaf Moran.
De aanvalsketens maken gebruik van bekende beveiligingslekken en verkeerde configuraties, zoals zwakke inloggegevens, om voet aan de grond te krijgen en willekeurige code uit te voeren op kwetsbare instanties.
Dit wordt bereikt door twee vrijwel identieke payloads te starten, waarvan er één is geschreven in Python en de ander een shellscript is. Beide zijn verantwoordelijk voor het ophalen van de Hadooken-malware van een externe server (“89.185.85(.)102” of “185.174.136(.)204”).
“Daarnaast probeert de shellscriptversie te itereren over verschillende mappen met SSH-gegevens (zoals gebruikersreferenties, hostinformatie en geheimen) en gebruikt deze informatie om bekende servers aan te vallen”, aldus Morag.
“Vervolgens verspreidt het zich lateraal door de organisatie of de daaraan gekoppelde omgevingen om de Hadooken-malware verder te verspreiden.”
Hadooken bestaat uit twee componenten: een cryptocurrency-miner en een distributed denial-of-service (DDoS)-botnet met de naam Tsunami (ook bekend als Kaiten). Deze botnet is in het verleden vooral gericht geweest op Jenkins- en Weblogic-services die in Kubernetes-clusters zijn geïmplementeerd.
Bovendien zorgt de malware voor persistentie op de host door cron-taken te creëren die de cryptominer periodiek met verschillende frequenties uitvoeren.
Aqua merkte op dat het IP-adres 89.185.85(.)102 in Duitsland is geregistreerd onder het hostingbedrijf Aeza International LTD (AS210644). In een eerder rapport van Uptycs uit februari 2024 werd het adres gelinkt aan een 8220 Gang-cryptocurrencycampagne door misbruik te maken van fouten in Apache Log4j en Atlassian Confluence Server en Data Center.
Het tweede IP-adres 185.174.136(.)204 is, hoewel momenteel inactief, ook gekoppeld aan Aeza Group Ltd. (AS216246). Zoals benadrukt door Qurium en EU DisinfoLab in juli 2024, is Aeza een kogelvrije hosting service provider met een aanwezigheid in Moskou M9 en in twee datacenters in Frankfurt.
“De werkwijze van Aeza en de snelle groei ervan kunnen worden verklaard door de werving van jonge ontwikkelaars die verbonden zijn aan waterdichte hostingproviders in Rusland, die een toevluchtsoord bieden aan cybercriminaliteit”, aldus de onderzoekers in het rapport.