Hadooken マルウェア

サイバーセキュリティの専門家は、Linux システムを狙った新しいマルウェア キャンペーンを発見しました。このキャンペーンは、違法な暗号通貨マイニングとボットネット マルウェアの拡散に重点を置いています。このキャンペーンは、Oracle Weblogic サーバーを明確にターゲットとし、Hadooken というマルウェアの亜種を配信します。実行されると、Hadooken はTsunamiマルウェアをインストールし、暗号通貨マイナーを起動します。この攻撃は、脆弱な認証情報などのよく知られた脆弱性やシステム構成の誤りを悪用して、初期アクセスを取得し、脆弱なインスタンスで任意のコードを実行します。

Hadookenマルウェアの攻撃チェーン

この攻撃では、ほぼ同一のペイロードが 2 つ展開されます。1 つは Python で記述され、もう 1 つはシェル スクリプトとして記述されています。どちらも、リモート サーバー (「89.185.85.102」または「185.174.136.204」) から Hadooken マルウェアを取得する役割を果たします。

シェル スクリプト バージョンは、ユーザー認証情報、ホストの詳細、シークレットなどの SSH データを含むディレクトリをさらにスキャンし、この情報を利用して既知のサーバーをターゲットにします。その後、ネットワーク内または接続された環境内で横方向に移動して、Hadooken マルウェアをさらに拡散します。

Hadooken は、暗号通貨マイナーと、Tsunami (別名 Kaiten) として知られる分散型サービス拒否 (DDoS) ボットネットという 2 つの主要コンポーネントで構成されています。このマルウェアは、Kubernetes クラスター内の Jenkins および Weblogic サービスを攻撃した経歴があります。また、このマルウェアは、さまざまな間隔で暗号通貨マイナーを実行する cron ジョブを作成することで、感染したホスト上での永続性を確保します。

Hadooken は検出を回避するために、Base64 でエンコードされたペイロード、正当なプロセスに紛れ込むために「bash」や「java」などの無害な名前でマイナー ペイロードを偽装すること、実行後にアーティファクトを削除して有害なアクティビティの痕跡を隠すことなど、いくつかの戦術を採用しています。

サイバー犯罪グループとのつながり

サイバーセキュリティ研究者は、IP アドレス 89.185.85.102 がドイツのホスティング会社 Aeza International LTD (AS210644) に登録されていることを確認しました。2024 年 2 月、この IP は 8220 Gang による暗号通貨キャンペーンに関連付けられ、Apache Log4j と Atlassian Confluence Server および Data Center の脆弱性が悪用されました。

2 番目の IP アドレス 185.174.136.204 は現在非アクティブですが、これも Aeza Group Ltd. (AS216246) に関連付けられています。2024 年 7 月に記載されているように、Aeza はモスクワ M9 で事業を展開し、フランクフルトに 2 つのデータ センターを持つ防弾ホスティング プロバイダーです。Aeza の急速な成長と運用モデルは、サイバー犯罪活動の安全な避難所となるロシアの防弾ホスティング サービスに関連する若い開発者を採用したことに起因しています。