新的 Linux 恶意软件 Hadooken 针对 Oracle WebLogic 服务器
2024-9-19 12:0:0 Author: www.4hou.com(查看原文) 阅读量:11 收藏

胡金鱼 技术 刚刚发布

2752

收藏

导语:攻击者之所以将 WebLogic 视为目标,是因为它在业务关键型环境中非常受欢迎,这些环境通常拥有丰富的处理资源,是加密货币挖矿和 DDoS 攻击的理想选择。

黑客瞄准 Oracle WebLogic 服务器,用一种名为“Hadooken”的新 Linux 恶意软件感染它们,该恶意软件会启动一个加密矿工和一个分布式拒绝服务 (DDoS) 攻击工具。

获得的访问权限还可能用于对 Windows 系统执行勒索软件攻击。容器安全解决方案公司 Aqua Security 的研究人员在蜜罐上观察到了这种攻击,威胁者由于凭证薄弱而攻破了蜜罐。

Oracle WebLogic Server 是一款企业级 Java EE 应用服务器,用于构建、部署和管理大规模分布式应用程序。该产品常用于银行和金融服务、电子商务、电信、政府组织和公共服务。

攻击者之所以将 WebLogic 视为目标,是因为它在业务关键型环境中非常受欢迎,这些环境通常拥有丰富的处理资源,是加密货币挖矿和 DDoS 攻击的理想选择。

Hadooken 猛烈攻击

一旦攻击者破坏环境并获得足够的权限,他们就会下载名为“c”的 shell 脚本和名为“y”的 Python 脚本。

研究人员表示,这两个脚本都会释放 Hadooken,但 shell 代码还会尝试在各个目录中查找 SSH 数据,并利用这些信息攻击已知服务器。此外,“c”还会在网络上横向移动以分发 Hadooken。

ssh-seek.webp.png

在已知主机上搜索 SSH 密钥

反过来,Hadooken 会投放并执行加密货币挖矿程序和 Tsunami 恶意软件,然后设置多个 cron 作业,这些作业的名称和有效负载执行频率都是随机的。

Tsunami 是一种 Linux DDoS 僵尸网络恶意软件,它通过对弱密码进行暴力攻击来感染易受攻击的 SSH 服务器。

攻击者之前曾使用 Tsunami 对受感染的服务器发起 DDoS 攻击和远程控制,而它再次被发现与 Monero 矿工一起部署。

Aqua Security 研究人员强调,Hadooken 将恶意服务重命名为“-bash”或“-java”,以模仿合法进程并与正常操作混合。

完成此过程后,系统日志将被清除以隐藏恶意活动的迹象,从而使发现和取证分析变得更加困难。

对 Hadooken 二进制文件的静态分析揭示了与 RHOMBUS 和 NoEscape 勒索软件家族的联系,但在观察到的攻击中没有部署勒索软件模块。

研究人员推测,在某些条件下,例如在操作员进行手动检查后,服务器访问权限可能会被用来部署勒索软件。未来版本也有可能引入此功能。

attack-overview.webp.png

Hadooken 攻击概述

此外,在提供 Hadooken (89.185.85[.]102) 的其中一台服务器上,研究人员发现了一个 PowerShell 脚本,该脚本下载了适用于 Windows 的 Mallox 勒索软件。

有报道称,该 IP 地址用于传播勒索软件,因此我们可以假设威胁者不仅针对 Windows 端点执行勒索软件攻击,还针对 Linux 服务器,以攻击大型组织经常使用的软件来启动后门和加密矿工 - Aqua Security

根据研究人员使用 Shodan 搜索引擎对联网设备进行搜索的结果显示,公共网络上已有超过 230,000 台 Weblogic 服务器。

文章翻译自:https://www.bleepingcomputer.com/news/security/new-linux-malware-hadooken-targets-oracle-weblogic-servers/如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/Zg0v
如有侵权请联系:admin#unsafe.sh