Cybersicherheitsexperten von Aqua Security haben eine neue, hochentwickelte Malware-Kampagne namens Hadooken aufgedeckt, die gezielt Linux-Systeme angreift. Die Kampagne nutzt bekannte Schwachstellen und Fehlkonfigurationen aus, um Kryptowährungen illegal zu schürfen und DDoS-Angriffe durchzuführen. Diese Entdeckung unterstreicht die wachsende Bedrohung für Linux-Umgebungen und die Notwendigkeit verstärkter Sicherheitsmaßnahmen.
Angriffsmethoden und Verbreitung von Hadooken
Die Angreifer nutzen primär Schwachstellen in Oracle WebLogic-Servern sowie schwache Zugangsdaten aus, um in Zielsysteme einzudringen. Nach der erfolgreichen Kompromittierung werden zwei nahezu identische Payloads ausgeführt – eine in Python und eine als Shell-Skript. Beide laden die Hadooken-Malware von entfernten Servern herunter, die mit den IP-Adressen 89.185.85[.]102 und 185.174.136[.]204 in Verbindung stehen.
Besonders besorgniserregend ist die Fähigkeit von Hadooken zur lateralen Bewegung innerhalb kompromittierter Netzwerke. Die Malware durchsucht verschiedene Verzeichnisse nach SSH-Daten, einschließlich Anmeldeinformationen und Host-Informationen. Diese gestohlenen Daten werden dann verwendet, um weitere Systeme im Netzwerk zu infizieren und die Verbreitung von Hadooken zu beschleunigen.
Funktionalität und Tarnung der Malware
Hadooken zeichnet sich durch seine duale Funktionalität aus:
- Kryptowährungs-Mining: Installiert und betreibt heimlich Krypto-Miner auf infizierten Systemen
- DDoS-Angriffe: Integriert die bekannte Tsunami (auch als Kaiten bekannt) DDoS-Malware
Um Entdeckung zu vermeiden, setzt Hadooken verschiedene Tarnungstechniken ein:
- Umbenennung bösartiger Dienste in „-bash“ oder „-java“, um legitime Prozesse zu imitieren
- Löschen von Systemprotokollen zur Verschleierung von Aktivitäten
- Erstellung von Cron-Jobs mit zufälligen Namen zur periodischen Ausführung des Miners
Verbindungen zu anderen Bedrohungsakteuren
Die Analyse der verwendeten IP-Adressen deutet auf mögliche Verbindungen zu bekannten Bedrohungsakteuren hin. Die Adresse 89.185.85[.]102 wurde zuvor mit der Gruppe 8220 in Verbindung gebracht, die für die Ausnutzung von Schwachstellen in Apache Log4j und Atlassian Confluence bekannt ist. Darüber hinaus wurde auf demselben Server ein PowerShell-Skript entdeckt, das die Mallox-Ransomware für Windows-Systeme herunterlädt.
Diese Erkenntnisse legen nahe, dass die Angreifer eine breite Palette von Zielen im Visier haben – von Linux-Servern großer Organisationen bis hin zu Windows-Endpunkten für potenzielle Ransomware-Angriffe. Die Vielseitigkeit und Raffinesse der Hadooken-Kampagne stellen eine ernsthafte Bedrohung für die Cybersicherheit von Unternehmen und Organisationen dar.
Angesichts der Komplexität und Reichweite dieser Bedrohung ist es für Unternehmen unerlässlich, ihre Cybersicherheitsmaßnahmen zu verstärken. Dies umfasst regelmäßige Sicherheitsupdates, starke Authentifizierungsmechanismen und umfassende Netzwerküberwachung. Nur durch proaktive Sicherheitsstrategien und kontinuierliche Wachsamkeit können Organisationen sich vor ausgeklügelten Bedrohungen wie Hadooken schützen und die Integrität ihrer digitalen Infrastruktur bewahren.