Експерти з кібербезпеки виявили нову масштабну шкідливу кампанію, спрямовану на Linux-системи. Зловмисники використовують вразливості серверів Oracle WebLogic для розповсюдження шкідливого ПЗ Hadooken, яке поєднує функціонал криптомайнера та ботнета. Ця загроза становить серйозний ризик для корпоративних мереж та критичної інфраструктури.
Механізм атаки та розповсюдження Hadooken
За даними дослідників Aqua Security, хакери експлуатують відомі вразливості та неправильні конфігурації серверів Oracle WebLogic. Після проникнення в систему запускаються дві схожі корисні навантаження на Python та у вигляді шелл-скрипта. Обидві завантажують шкідливе ПЗ Hadooken з віддалених серверів.
Hadooken має два основних компоненти:
- Криптовалютний майнер
- Малварь для DDoS-ботнета Tsunami (також відома як Kaiten)
Після зараження Hadooken створює cron-завдання з випадковими іменами для періодичного запуску майнера. Шкідливе ПЗ також намагається знайти SSH-дані для подальшого поширення мережею.
Методи маскування та ускладнення виявлення
Зловмисники застосовують низку технік для приховування своєї активності:
- Перейменування шкідливих процесів на “-bash” або “-java” для маскування під легітимні
- Видалення системних журналів для знищення слідів присутності
- Використання рандомізованих імен для cron-завдань
Ці методи значно ускладнюють виявлення та аналіз зараження системними адміністраторами.
Зв’язок з іншими кіберзагрозами
Дослідники виявили, що IP-адреси, пов’язані з Hadooken, раніше використовувалися хакерським угрупованням 8220. Ця група відома експлуатацією вразливостей в Apache Log4j та Atlassian Confluence. Крім того, на одному з серверів було знайдено скрипт для завантаження програми-вимагача Mallox, що націлена на Windows-системи.
Ці факти свідчать про комплексний підхід зловмисників, які намагаються атакувати як Linux-сервери великих організацій, так і Windows-комп’ютери кінцевих користувачів. Мета атак – встановлення бекдорів, запуск криптомайнерів та проведення програм-вимагачів.
Виявлення Hadooken підкреслює зростаючу складність та багатовекторність сучасних кіберзагроз. Організаціям необхідно посилити захист своїх Linux-середовищ, регулярно оновлювати ПЗ та проводити аудит безпеки для виявлення потенційних вразливостей. Лише комплексний підхід до кібербезпеки зможе ефективно протистояти таким складним атакам.
