El malware 'Hadooken' para Linux se dirige a los servidores Oracle WebLogic • The Register


Los investigadores de la empresa de seguridad en la nube Aqua dicen que atacantes desconocidos están explotando contraseñas débiles para infiltrarse en los servidores Oracle WebLogic e implementar un nuevo malware para Linux llamado Hadoken.

No está claro si este malware se está implementando en una campaña coordinada. Assaf Morag, analista principal de datos de Aqua, dijo a The Register que su equipo ha “observado docenas de ataques en las últimas semanas”.

WebLogic es una plataforma para ejecutar aplicaciones a escala empresarial, utilizada a menudo por proveedores de servicios financieros, operaciones de comercio electrónico y otros sistemas críticos para el negocio. Se explota con frecuencia debido a sus diversas vulnerabilidades.

Aqua detectó malware en servidores Honeypot WebLogic. El ataque aprovechó contraseñas débiles para acceder y ejecutar código malicioso de forma remota. La primera carga útil ejecuta un script de Shell llamado 'c' y un script de Python llamado 'y'. Ambos intentaron descargar Hadoken.

Hadooke, posiblemente llamado así por un ataque en la serie de videojuegos Street Fighter, incluye un minero de criptomonedas y el malware Tsunami (red de bots DDoS y puerta trasera), que permite a los atacantes controlar de forma completamente remota las máquinas infectadas.

Los cazadores de amenazas acuáticas no han visto ninguna evidencia de Tsunami en marcha, pero especularon que podría usarse más tarde.

El malware también crea múltiples cronjobs para mantener la persistencia. El script de shell que lanza este ataque también puede robar credenciales de usuario y otros secretos, que el atacante puede utilizar para moverse lateralmente y atacar a otros servidores.

Aqua rastreó el malware Hadoken descargado hasta dos direcciones IP. Uno de ellos está asociado con una empresa de hosting con sede en el Reino Unido. No hay indicios de que esta empresa esté involucrada en ataques de malware.

“TeamTNT y Gang 8220 han utilizado esta IP en el pasado, pero eso no sugiere nada sobre una posible atribución”, explicó Morag.

Aqua también escribió que el análisis del binario Hadoken realizado por sus investigadores sugiere un vínculo con las cepas de ransomware RHOMBUS y NoEscape.

“Por lo tanto, los actores de amenazas se dirigen a los puntos finales de Windows para llevar a cabo ataques de ransomware, pero también al software que las grandes empresas suelen utilizar para lanzar puertas traseras y mineros de criptomonedas. Podemos suponer que también se dirige a los servidores Linux”, dijo Morag en un informe sobre. Haooken publicado el jueves. ®


https://www.theregister.com/2024/09/13/hadooken_attacks_oracle_weblogic/