Servidores Oracle WebLogic alvos de novo malware
16 de Setembro de 2024

Hackers estão mirando servidores Oracle WebLogic para infectá-los com um novo malware Linux chamado "Hadooken", que inicia um cryptominer e uma ferramenta para ataques de negação de serviço distribuído (DDoS).

O acesso obtido também pode ser usado para executar ataques de ransomware em sistemas Windows.

Pesquisadores da empresa de soluções de segurança para contêineres Aqua Security observaram tal ataque em um honeypot, que foi violado pelo agente de ameaças devido a credenciais fracas.

Oracle WebLogic Server é um servidor de aplicativos Java EE de nível empresarial usado para construir, implantar e gerenciar aplicações distribuídas em larga escala.

O produto é comumente utilizado em serviços bancários e financeiros, e-commerce, telecomunicações, organizações governamentais e serviços públicos.

Atacantes visam WebLogic devido à sua popularidade em ambientes críticos de negócios que tipicamente desfrutam de ricos recursos de processamento, tornando-os ideais para cryptomining e ataques DDoS.

Uma vez que os atacantes invadem um ambiente e obtêm privilégios suficientes, eles baixam um script shell chamado "c" e um script Python chamado "y".

Ambos os scripts instalam Hadooken, mas o código shell também tenta procurar dados SSH em vários diretórios e usa a informação para atacar servidores conhecidos, dizem os pesquisadores.

Adicionalmente, 'c' move-se lateralmente na rede para distribuir Hadooken.

Hadooken, por sua vez, instala e executa um cryptominer e o malware Tsunami, e então configura múltiplos cron jobs com nomes randomizados e frequências de execução de payloads.

Tsunami é um malware botnet Linux DDoS que infecta servidores SSH vulneráveis através de ataques de força bruta em senhas fracas.

Atacantes previamente usaram Tsunami para lançar ataques DDoS e controle remoto em servidores comprometidos, enquanto foi visto novamente sendo implantado ao lado de mineradores Monero.

Pesquisadores da Aqua Security destacam a prática do Hadooken de renomear os serviços maliciosos como '-bash' ou '-java', para imitar processos legítimos e mesclar-se com operações normais.

Uma vez completado este processo, os logs do sistema são apagados para esconder os sinais de atividade maliciosa, tornando a descoberta e análise forense mais difícil.

A análise estática do binário Hadooken revelou links com as famílias de ransomware RHOMBUS e NoEscape, embora nenhum módulo de ransomware tenha sido implantado nos ataques observados.

Os pesquisadores hipotetizam que o acesso ao servidor pode ser usado para implantar ransomware sob certas condições, como após os operadores realizarem verificações manuais.

Também é possível que a habilidade seja introduzida em uma versão futura.

Além disso, em um dos servidores que entregava Hadooken (89.185.85[.]102), os pesquisadores descobriram um script PowerShell que baixava o ransomware Mallox para Windows.

Baseado nas descobertas dos pesquisadores usando o motor de busca Shodan para dispositivos conectados à internet, existem mais de 230.000 servidores Weblogic na web pública.

Uma lista abrangente de medidas de defesa e mitigação está presente na seção final do relatório da Aqua Security.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...