Pesquisadores de cibersegurança descobriram uma nova campanha de malware visando ambientes Linux para conduzir mineração ilícita de criptomoedas e entregar malware de botnet.
A atividade, que especificamente mira o servidor Oracle Weblogic, é projetada para entregar uma variante de malware denominada Hadooken, de acordo com a empresa de segurança em nuvem Aqua.
"Quando o Hadooken é executado, ele libera um malware Tsunami e implanta um minerador de cripto," disse o pesquisador de segurança Assaf Moran.
As cadeias de ataque exploram vulnerabilidades de segurança conhecidas e más configurações, como credenciais fracas, para obter um ponto de apoio inicial e executar códigos arbitrários em instâncias suscetíveis.
Isso é alcançado lançando dois payloads quase idênticos, um escrito em Python e o outro, um shell script, ambos responsáveis por recuperar o malware Hadooken de um servidor remoto ("89.185.85[.]102" ou "185.174.136[.]204").
"Além disso, a versão em shell script tenta iterar por vários diretórios contendo dados SSH (como credenciais de usuário, informações do host e segredos) e usa essa informação para atacar servidores conhecidos," Morag disse.
Em seguida, move-se lateralmente pela organização ou ambientes conectados para espalhar ainda mais o malware Hadooken.
Hadooken vem embutido com dois componentes, um minerador de criptomoedas e uma botnet de negação de serviço distribuído (DDoS) chamada Tsunami (também conhecida como Kaiten), que tem um histórico de mirar em serviços Jenkins e Weblogic implantados em clusters Kubernetes.
Além disso, o malware é responsável por estabelecer persistência no host ao criar cron jobs para executar o minerador de cripto periodicamente em frequências variadas.
Aqua notou que o endereço IP 89.185.85[.]102 está registrado na Alemanha sob a empresa de hospedagem Aeza International LTD (AS210644), com um relatório anterior da Uptycs em fevereiro de 2024 vinculando-o a uma campanha de criptomoeda da Gangue 8220 abusando de falhas em Apache Log4j e Atlassian Confluence Server e Data Center.
O segundo endereço IP, 185.174.136[.]204, embora atualmente inativo, também está ligado à Aeza Group Ltd.
Como destacado por Qurium e EU DisinfoLab em julho de 2024, a Aeza é um provedor de serviços de hospedagem à prova de balas com presença no Moscow M9 e em dois data centers em Frankfurt.
"O modus operandi da Aeza e seu rápido crescimento podem ser explicados pelo recrutamento de jovens desenvolvedores afiliados a provedores de hospedagem à prova de balas na Rússia oferecendo abrigo ao cibercrime," os pesquisadores disseram no relatório.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...