Los piratas informáticos tienen como objetivo los servidores Oracle WebLogic para infectarlos con un nuevo malware de Linux llamado “Hadooken”. El malware lanza un minero de criptomonedas y una herramienta de ataque de denegación de servicio distribuida (DDoS).
El acceso obtenido también podría utilizarse para llevar a cabo ataques de ransomware contra sistemas Windows.
Los investigadores de la empresa de soluciones de seguridad de contenedores Aqua Security observaron este tipo de ataques contra honeypots. Un actor de amenazas obtuvo acceso a un honeypot debido a credenciales débiles.
Oracle WebLogic Server es un servidor de aplicaciones Java EE de nivel empresarial que se utiliza para crear, implementar y gestionar aplicaciones distribuidas a gran escala.
Este producto se utiliza comúnmente en servicios bancarios y financieros, comercio electrónico, telecomunicaciones, agencias gubernamentales y servicios públicos.
Los atacantes apuntan a WebLogic porque se usa comúnmente en entornos críticos para los negocios que generalmente utilizan abundantes recursos de procesamiento, lo que lo hace ideal para la minería de criptomonedas y ataques DDoS.
Hadouken golpea fuerte
Una vez que el atacante ha comprometido el entorno y ha obtenido privilegios suficientes, descarga un script de Shell llamado “c” y un script de Python llamado “y”.
Según los investigadores, ambos scripts eliminan Hadoken, pero el código shell busca datos SSH en varios directorios e intenta utilizar esa información para atacar servidores conocidos.
Además, 'c' se mueve lateralmente a través de la red para distribuir Hadooke.
Encuentre claves SSH en hosts conocidos
Fuente: Aquasec
Luego, Hadoken coloca y ejecuta el criptominero y el malware Tsunami, configurando múltiples trabajos cron con nombres aleatorios y frecuencias de ejecución de carga útil.
Tsunami es un malware botnet DDoS de Linux que infecta servidores SSH vulnerables mediante ataques de fuerza bruta contra contraseñas débiles.
Los atacantes han utilizado anteriormente Tsunami para realizar ataques DDoS y control remoto de servidores comprometidos, y esta vez lo hemos visto implementado junto con los mineros de Monero.
Los investigadores de Aqua Security observan cómo Hadoken cambia el nombre de los servicios maliciosos a “-bash” o “-java” para imitar procesos legítimos y combinarlos con las operaciones normales.
Una vez que se completa este proceso, los registros del sistema se borran, ocultando cualquier signo de actividad maliciosa y dificultando el descubrimiento y el análisis forense.
El análisis estático del binario Hadoken reveló vínculos con las familias de ransomware RHOMBUS y NoEscape, pero no se implementaron módulos de ransomware en los ataques observados.
Los investigadores especulan que bajo ciertas condiciones, como después de que los operadores realicen comprobaciones manuales, el acceso a los servidores podría usarse para implementar ransomware. Esta característica también puede introducirse en una versión futura.
Descripción general del ataque Hadouken
Fuente: Aquasec
Además, los investigadores descubrieron un script de PowerShell que descarga el ransomware Mallox para Windows en uno de los servidores que distribuyen Hadoken (89.185.85(.)102).
Hay varios informes de que esta dirección IP se está utilizando para propagar ransomware, por lo que los actores de amenazas no solo se dirigen a los puntos finales de Windows para llevar a cabo ataques de ransomware, sino que también las grandes empresas están utilizando puertas traseras y podemos especular que también se dirigen a servidores Linux. software comúnmente utilizado para lanzar mineros de criptomonedas – Aqua Security
Hay más de 230.000 servidores Weblogic en la web pública, según investigadores que observaron dispositivos conectados a Internet utilizando el motor de búsqueda Shodan.
Puede encontrar una lista completa de defensas y mitigaciones en la sección final del informe de Aqua Security.
https://www.bleepingcomputer.com/news/security/new-linux-malware-hadooken-targets-oracle-weblogic-servers/
