Исследователи Aqua Nautilus обнаружили новое вредоносное ПО для Linux, поражающее серверы Oracle WebLogic и получившее название «Hadooken».
Hadooken Malware
Атака начинается с использования слабых учетных данных на серверах WebLogic для удаленного выполнения кода (RCE). Попав внутрь, злоумышленник загружает и запускает два скрипта - shell-скрипт и Python-скрипт, которые развертывают вредоносное ПО Hadooken. Вредоносная программа предназначена для сброса криптомайнера и вредоносного кода Tsunami, при этом она старается остаться незамеченной, удаляя журналы и заметая следы.
Кроме того, Hadooken распространяется сбоку, запрашивая учетные данные SSH и компрометируя подключенные системы. Вредоносная программа поддерживает постоянство с помощью заданий cron и переименовывает криптомайнер, чтобы скрыть свою активность. Были выявлены два IP-адреса, использовавшиеся в атаке, причем один из них связан с предыдущей деятельностью злоумышленников, хотя четкой атрибуции нет. Исследователи предупреждают, что хотя в настоящее время Hadooken нацелен на системы Linux, его связи с вымогательским ПО указывают на возможное развитие событий в будущем.
Indicators of Compromise
IPv4
- 185.174.136.204
- 89.185.85.102
MD5
- 249871cb1c396241c9fcd0fd8f9ad2ae
- 4a12098c3799ce17d6d59df86ed1a5b6
- 73d96a4316182cd6417bdab86d4df1fc
- 8eef5aa6fa9859c71b55c1039f02d2e6
- 9bea7389b633c331e706995ed4b3999c
- b9f096559e923787ebb1288c93ce2902
- c1897ea9457343bd8e73f98a1d85a38f
- cdf3fce392df6fbb3448c5d26c8d053e
