Nenhum comentário

Campanha de malware Linux tem como alvo o Oracle WebLogic em uma tentativa de minerar criptomoeda

 

Pesquisadores de segurança cibernética identificaram uma nova campanha de malware visando sistemas Linux para realizar mineração de criptomoedas não autorizada e distribuir malware de botnet.

A campanha, que visa especificamente servidores Oracle WebLogic, oferece uma cepa de malware conhecida como Hadooken, de acordo com a empresa de segurança em nuvem Aqua.

“Quando o Hadooken é executado, ele libera o malware Tsunami e inicia um minerador de criptomoedas”, explicou o pesquisador de segurança Assaf Moran.

O ataque explora vulnerabilidades e configurações incorretas conhecidas, como credenciais fracas, para obter uma posição inicial e executar código arbitrário em instâncias vulneráveis.

Duas cargas úteis quase idênticas — uma em Python e a outra como um script de shell — são usadas para recuperar o malware Hadooken de servidores remotos (“89.185.85[.]102” ou “185.174.136[.]204“).

Além disso, a variante do script de shellvarre vários diretórios contendo dados SSH (como credenciais de usuário, detalhes do host e segredos) para atacar servidores conhecidos, acrescentou Morag.

“Ele então se move lateralmente pela organização ou sistemas conectados, propagando ainda mais o malware Hadooken.”

Novo malware Linux

Hadooken contém dois componentes-chave: um minerador de criptomoedas e um botnet de negação de serviço distribuída (DDoS) conhecido como Tsunami (também conhecido como Kaiten), que anteriormente teve como alvo serviços Jenkins e WebLogic em execução em clusters Kubernetes.

O malware também estabelece persistência no host configurando tarefas cron para acionar periodicamente o minerador de criptomoedas em intervalos diferentes.

De acordo com a Aqua, o endereço IP 89.185.85[.]102, registrado na Alemanha sob o provedor de hospedagem Aeza International LTD (AS210644), foi vinculado a uma campanha de criptomoeda 8220 Gang, relatada anteriormente pela Uptycs em fevereiro de 2024. Esta campanha explorou vulnerabilidades no Apache Log4j e no Atlassian Confluence Server and Data Center.

O segundo endereço IP, 185.174.136[.]204, embora atualmente inativo, também está conectado à Aeza Group Ltd. (AS216246). Relatórios do Qurium e do EU DisinfoLab em julho de 2024 revelaram que a Aeza é um serviço de hospedagem à prova de balas com operações em Moscou M9 e dois data centers em Frankfurt.

“O rápido crescimento da Aeza pode ser atribuído ao recrutamento de jovens desenvolvedores associados a provedores de hospedagem à prova de balas russos, oferecendo um refúgio seguro para atividades de crimes cibernéticos”, concluíram os pesquisadores.

 


Fonte: TheHackerNews

Você pode gostar também

More Similar Posts

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Preencha esse campo
Preencha esse campo
Digite um endereço de e-mail válido.