Pesquisadores de segurança cibernética descobriram uma nova campanha de malware direcionada a ambientes Linux para realizar mineração ilegal de criptomoedas.
A tarefa, que visa especificamente o servidor Oracle Weblogic, foi projetada para entregar o malware Hadokende acordo com a empresa de segurança em nuvem Aqua.
“Quando o Hadooken é morto, ele descarta o malware Tsunami e envia um criptominerador”, disse o pesquisador de segurança Assaf Moran.
As cadeias de ataque aproveitam vulnerabilidades de segurança e configurações incorretas conhecidas, como credenciais fracas, para obter uma linha de base e executar código arbitrário em situações vulneráveis.
Isso é conseguido lançando duas cargas quase idênticas, uma escrita em Python e a outra, um script shell, ambas responsáveis por recuperar o malware Hadooken do servidor remoto (“89.185.85)[.]102” ou “185.174.136[.]204”).
“Além disso, a versão do shell script tenta replicar vários diretórios contendo dados SSH (como credenciais de usuário, credenciais de host e segredos) e usa essas informações para atacar servidores conhecidos”, disse Morag.
“Em seguida, ele se move lateralmente para toda a organização ou locais conectados para continuar a espalhar o malware Hadooken”.
O Hadooken vem com dois componentes, um minerador de criptomoeda e um botnet distribuído de negação de serviço (DDoS) chamado Tsunami (também conhecido como Kaiten), que tem um histórico de direcionar serviços Jenkins e Weblogic implantados em clusters de – Kubernetes.
Além disso, o malware é responsável por estabelecer persistência no host, criando tarefas cron para executar a mina criptográfica periodicamente em várias frequências.
Aqua observou que o endereço IP é 89.185.85[.]102 está registrado na Alemanha sob a empresa anfitriã Aeza International LTD (AS210644), com um relatório anterior da Uptycs em fevereiro de 2024 vinculando-o à campanha de criptomoeda da Gangue 8220, explorando falhas no Apache Log4j e no Atlassian Confluence Server and Data Center.
O segundo endereço IP é 185.174.136[.]204, embora atualmente inativo, também está vinculado ao Aeza Group Ltd. (AS216246). Conforme destacado pela Qurium e pelo EU DisinfoLab em julho de 2024, a Aeza é um provedor de serviços de hospedagem em nuvem e está presente em Moscou M9 e em dois data centers em Frankfurt.
“O modus operandi da Aeza e seu rápido crescimento podem ser explicados pelo recrutamento de jovens desenvolvedores conectados a provedores de hospedagem à prova de balas na Rússia que fornecem abrigo contra o crime cibernético”, disseram os pesquisadores no relatório.
