13 de septiembre de 2024Ravie LakshmananSeguridad empresarial/vulnerabilidad
Investigadores de ciberseguridad han descubierto una nueva campaña de malware dirigida a entornos Linux para la minería ilegal de criptomonedas.
Según la empresa de seguridad en la nube Aqua, esta campaña se dirige específicamente a los servidores Oracle Weblogic y tiene como objetivo entregar malware llamado Hadoken.
“Una vez que se ejecuta Haooken, elimina el malware Tsunami y despliega un minero de criptomonedas”, dijo el investigador de seguridad Asaf Moran.
La cadena de ataque gana un punto de apoyo inicial al explotar vulnerabilidades de seguridad conocidas, como credenciales débiles o configuraciones incorrectas, para ejecutar código arbitrario en instancias susceptibles.
Esto se logra lanzando dos cargas útiles casi idénticas. Uno está escrito en Python y el otro está escrito en un script de shell. Ambos son responsables de recuperar el malware Hadoken desde un servidor remoto ('89.185.85(.)102' o '185.174.136(.)204'.
“Además, la versión del script de shell recorre varios directorios que contienen datos SSH (credenciales de usuario, información del host, secretos, etc.) e intenta utilizar esta información para atacar servidores conocidos”, afirma Morag.
“Luego se mueve lateralmente dentro de la organización o a través de entornos conectados para propagar aún más el malware Haooken”.
Hadoken incorpora dos componentes: mineros de criptomonedas y una botnet de denegación de servicio distribuido (DDoS) llamada Tsunami (también conocida como Kaiten), que tiene un historial de apuntar a servicios Jenkins y Weblogic implementados en clústeres de Kubernetes.
Además, el malware es responsable de establecer su persistencia en el host mediante la creación de un trabajo cron que ejecuta periódicamente el minero de criptomonedas con diferentes frecuencias.
Aqua señala que la dirección IP 89.185.85(.)102 está registrada en la empresa de alojamiento alemana Aeza International LTD (AS210644), y en un informe anterior de Uptycs de febrero de 2024, se dice que está registrada en Apache Log4j y Atlassian. estar vinculado a la campaña de criptomonedas de 8220 Gang que explota fallas en Confluence Server y Data Center.
La segunda dirección IP, 185.174.136(.)204, está actualmente inactiva, pero también está vinculada a Aeza Group Ltd. (AS216246). Como señalaron Qurium y EU DisinfoLab en julio de 2024, Aeza es un proveedor de servicios de hosting a prueba de balas con sede en dos centros de datos en Moscú M9 y Frankfurt.
“El modus operandi de Aeza y su rápido crecimiento se explican por la contratación de desarrolladores jóvenes afiliados a proveedores rusos de hosting a prueba de balas que proporcionan cobertura a los ciberdelincuentes”, afirman los investigadores en el informe.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/new-linux-malware-campaign-exploits.html
