Pesquisadores de segurança cibernética identificaram uma nova campanha de malware visando sistemas Linux para realizar mineração de criptomoedas não autorizada e distribuir malware de botnet.
A campanha, que visa especificamente servidores Oracle WebLogic, oferece uma cepa de malware conhecida como Hadooken, de acordo com a empresa de segurança em nuvem Aqua.
“Quando o Hadooken é executado, ele libera o malware Tsunami e inicia um minerador de criptomoedas”, explicou o pesquisador de segurança Assaf Moran.
O ataque explora vulnerabilidades e configurações incorretas conhecidas, como credenciais fracas, para obter uma posição inicial e executar código arbitrário em instâncias vulneráveis.
Duas cargas úteis quase idênticas — uma em Python e a outra como um script de shell — são usadas para recuperar o malware Hadooken de servidores remotos (“89.185.85[.]102” ou “185.174.136[.]204“).
Além disso, a variante do script de shellvarre vários diretórios contendo dados SSH (como credenciais de usuário, detalhes do host e segredos) para atacar servidores conhecidos, acrescentou Morag.
“Ele então se move lateralmente pela organização ou sistemas conectados, propagando ainda mais o malware Hadooken.”
Hadooken contém dois componentes-chave: um minerador de criptomoedas e um botnet de negação de serviço distribuída (DDoS) conhecido como Tsunami (também conhecido como Kaiten), que anteriormente teve como alvo serviços Jenkins e WebLogic em execução em clusters Kubernetes.
O malware também estabelece persistência no host configurando tarefas cron para acionar periodicamente o minerador de criptomoedas em intervalos diferentes.
De acordo com a Aqua, o endereço IP 89.185.85[.]102, registrado na Alemanha sob o provedor de hospedagem Aeza International LTD (AS210644), foi vinculado a uma campanha de criptomoeda 8220 Gang, relatada anteriormente pela Uptycs em fevereiro de 2024. Esta campanha explorou vulnerabilidades no Apache Log4j e no Atlassian Confluence Server and Data Center.
O segundo endereço IP, 185.174.136[.]204, embora atualmente inativo, também está conectado à Aeza Group Ltd. (AS216246). Relatórios do Qurium e do EU DisinfoLab em julho de 2024 revelaram que a Aeza é um serviço de hospedagem à prova de balas com operações em Moscou M9 e dois data centers em Frankfurt.
“O rápido crescimento da Aeza pode ser atribuído ao recrutamento de jovens desenvolvedores associados a provedores de hospedagem à prova de balas russos, oferecendo um refúgio seguro para atividades de crimes cibernéticos”, concluíram os pesquisadores.
Fonte: TheHackerNews
