Специалисты по кибербезопасности обнаружили новую масштабную вредоносную кампанию, нацеленную на Linux-системы. Атака, получившая название Hadooken, представляет серьезную угрозу для корпоративных сетей, используя уязвимости в популярном программном обеспечении для незаконного майнинга криптовалюты и создания ботнетов.
Механизм атаки и распространение вредоносного ПО
Согласно отчету экспертов Aqua Security, злоумышленники активно эксплуатируют известные уязвимости и слабые конфигурации в серверах Oracle WebLogic. Используя эти бреши в защите, хакеры получают возможность выполнять произвольный код на целевых системах. Атака реализуется с помощью двух практически идентичных полезных нагрузок: одна написана на Python, другая представляет собой шелл-скрипт. Обе выполняют загрузку вредоносного ПО Hadooken с удаленных серверов.
Компоненты и функционал Hadooken
Вредоносное ПО Hadooken состоит из двух основных компонентов:
- Криптовалютный майнер — незаконно использует вычислительные ресурсы зараженных систем для добычи криптовалюты
- DDoS-ботнет Tsunami (также известный как Kaiten) — позволяет злоумышленникам проводить масштабные DDoS-атаки
После успешного внедрения Hadooken устанавливает вредоносную программу Tsunami и разворачивает криптомайнер. Для обеспечения устойчивости атаки создаются cron-задания с рандомизированными именами, которые периодически запускают майнер с различной частотой.
Методы маскировки и распространения
Исследователи отмечают, что Hadooken использует ряд техник для сокрытия своего присутствия в системе:
- Переименование вредоносных процессов в «-bash» или «-java» для имитации легитимной активности
- Удаление системных журналов для затруднения обнаружения и анализа
- Использование SSH-данных для бокового перемещения по сети и дальнейшего распространения
Связь с другими киберугрозами
Анализ инфраструктуры, используемой в атаках Hadooken, выявил интересные связи с другими киберугрозами. IP-адрес 89.185.85[.]102, задействованный в распространении вредоноса, ранее ассоциировался с хакерской группой 8220, известной эксплуатацией уязвимостей в Apache Log4j и Atlassian Confluence. Кроме того, на этом же сервере был обнаружен PowerShell-скрипт для загрузки программы-вымогателя Mallox, нацеленной на Windows-системы.
Выявленные связи указывают на то, что злоумышленники ведут многовекторную кампанию, атакуя как Linux-серверы для запуска бэкдоров и криптомайнеров, так и Windows-endpoints с целью проведения программ-вымогателей. Такой комплексный подход значительно повышает опасность данной киберугрозы для корпоративных сетей.
Обнаружение кампании Hadooken подчеркивает критическую важность своевременного обновления программного обеспечения, усиления контроля доступа и внедрения многоуровневых систем защиты в корпоративных средах. Организациям настоятельно рекомендуется провести аудит безопасности своих Linux-систем, особенно серверов Oracle WebLogic, и принять необходимые меры для минимизации рисков компрометации.
