網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一場針對Linux環(huán)境的新惡意軟件活動(dòng)，目的是進(jìn)行非法加密貨幣挖礦和傳播僵尸網(wǎng)絡(luò)惡意軟件。云安全公司Aqua指出，這項(xiàng)活動(dòng)特別針對甲骨文Weblogic服務(wù)器，旨在傳播一種名為Hadooken的惡意軟件。

該惡意軟件利用的是Oracle Weblogic中的一個(gè)已知漏洞，即CVE-2020-14882。該漏洞允許攻擊者獲得對Weblogic服務(wù)器的未經(jīng)授權(quán)訪問，并執(zhí)行任意代碼。

安全研究員Assaf Moran表示，“當(dāng)Hadooken行動(dòng)被執(zhí)行時(shí)，它會(huì)釋放一種名為Tsunami的惡意軟件，并部署一個(gè)加密貨幣挖礦程序來獲取加密貨幣，如門羅幣（XMR）?！?/p>

攻擊鏈利用已知的安全漏洞和配置錯(cuò)誤，例如弱密碼，以獲得初始立足點(diǎn)并在易受攻擊的實(shí)例上執(zhí)行任意代碼。這是通過啟動(dòng)兩個(gè)幾乎相同的有效載荷來完成的，一個(gè)用Python編寫，另一個(gè)是shell腳本，兩者都負(fù)責(zé)從遠(yuǎn)程服務(wù)器（“89.185.85[.]102”或“185.174.136[.]204”）檢索Hadooken惡意軟件。

Morag進(jìn)一步表示，“shell腳本版本試圖遍歷包含SSH數(shù)據(jù)（如用戶憑據(jù)、主機(jī)信息和秘密）的各種目錄，并利用這些信息攻擊已知服務(wù)器。然后它在組織內(nèi)或連接的環(huán)境中橫向移動(dòng)，以進(jìn)一步傳播Hadooken惡意軟件。”

Hadooken勒索軟件內(nèi)置了兩個(gè)組件，一個(gè)加密貨幣挖礦程序和一個(gè)名為Tsunami（又稱Kaiten）的分布式拒絕服務(wù)（DDoS）僵尸網(wǎng)絡(luò)，后者有針對部署在Kubernetes集群中的Jenkins和Weblogic服務(wù)的攻擊歷史。

此外，該惡意軟件還負(fù)責(zé)通過在主機(jī)上創(chuàng)建cron作業(yè)以不同頻率定期運(yùn)行加密貨幣挖礦程序來建立持久性。

Aqua指出，IP地址89.185.85[.]102在德國注冊，隸屬于托管公司Aeza International LTD（AS210644），Uptycs在2024年2月的先前報(bào)告將其與8220 Gang加密貨幣活動(dòng)聯(lián)系起來，該活動(dòng)濫用Apache Log4j和Atlassian Confluence Server及數(shù)據(jù)中心中的漏洞。

第二個(gè)IP地址185.174.136[.]204雖然目前處于非活動(dòng)狀態(tài)，但也與Aeza Group Ltd.（AS216246）有關(guān)。正如Qurium和EU DisinfoLab在2024年7月強(qiáng)調(diào)的，Aeza是一家在莫斯科M9和法蘭克福的兩個(gè)數(shù)據(jù)中心都有業(yè)務(wù)的防彈托管服務(wù)提供商。

研究人員在報(bào)告中說：“Aeza的運(yùn)作方式和快速增長可以通過招募與俄羅斯防彈托管服務(wù)提供商有關(guān)聯(lián)的年輕開發(fā)者來解釋，這些提供商為網(wǎng)絡(luò)犯罪提供庇護(hù)?！?/p>

參考來源：https://thehackernews.com/2024/09/new-linux-malware-campaign-exploits.html