Bilgisayar korsanları, bir kriptominer ve dağıtılmış hizmet reddi (DDOS) saldırıları için bir araç başlatan "Hadooken" adlı yeni bir Linux kötü amaçlı yazılımla bulaşmaları için Oracle WebLogic sunucularını hedefliyor.
Elde edilen erişim, Windows sistemlerinde fidye yazılımı saldırılarını yürütmek için de kullanılabilir.
Konteyner Security Solution Company Aqua Security'deki araştırmacılar, tehdit oyuncusunun zayıf kimlik bilgileri nedeniyle ihlal ettiği bir balkota yönelik böyle bir saldırı gözlemlediler.
Oracle WebLogic Server, büyük ölçekli, dağıtılmış uygulamaları oluşturmak, dağıtmak ve yönetmek için kullanılan kurumsal düzeyde bir Java EE uygulama sunucusudur.
Ürün, bankacılık ve finansal hizmetler, e-ticaret, telekomünikasyon, devlet kuruluşları ve kamu hizmetlerinde yaygın olarak kullanılmaktadır.
Saldırganlar, tipik olarak zengin işleme kaynaklarından yararlanan iş açısından kritik ortamlardaki popülaritesi nedeniyle WebLogic'i hedefliyor, bu da onları kriptominasyon ve DDOS saldırıları için ideal hale getiriyor.
Saldırganlar bir ortamı ihlal ettikten ve yeterli ayrıcalıklar elde ettikten sonra, "C" adlı bir kabuk komut dosyası ve "Y" adlı bir Python betiği indirirler.
İki komut dosyası Hadooken'i bırakıyor, ancak Shell kodu aynı zamanda çeşitli dizinlerde SSH verilerini aramaya çalışıyor ve bilgiyi bilinen sunuculara saldırmak için kullanıyor.
Ayrıca, 'C' Hadooken'i dağıtmak için ağa yanal olarak hareket eder.
Hadooken, sırayla, bir Cryptominer ve Tsunami kötü amaçlı yazılımları düşürür ve yürütür ve daha sonra randomize adlar ve yükler yürütme frekansları ile birden fazla CRON iş kurar.
Tsunami, zayıf şifrelere karşı kaba saldırılarla savunmasız SSH sunucularını enfekte eden bir Linux DDOS botnet kötü amaçlı yazılımdır.
Saldırganlar daha önce Monero madencilerinin yanında konuşlandırıldığı görülmüştür.
Aqua güvenlik araştırmacıları, meşru süreçleri taklit etmek ve normal operasyonlarla harmanlamak için kötü amaçlı hizmetleri '-bash' veya '-java' olarak yenileyen Hadooken uygulamasını vurgulamaktadır.
Bu işlem tamamlandıktan sonra, kötü amaçlı etkinlik belirtileri kaldırılır, bu da keşif ve adli analizi daha zor hale getirir.
Hadooken ikili olarak eşleşen saldırılarda hiçbir fidye yazılımı modülü konuşlandırılmamış olsa da, eşkenar dörtgen ve noescape fidye yazılımı ailelerine açılan bağlantıların statik analizi.
Araştırmacılar, sunucu erişiminin fidye yazılımlarını belirli koşullar altında dağıtmak için kullanılabileceğini varsaymaktadır. Ayrıca, yeteneğin gelecekteki bir sürümde tanıtılması da mümkündür.
Ayrıca, Hadooken'i (89.185.85 [.] 102) teslim eden sunuculardan birinde, araştırmacılar Windows için Mallox fidye yazılımı indiren bir PowerShell betiği keşfettiler.
Bu IP adresinin bu fidye yazılımı yaymak için kullanıldığına dair bazı raporlar var, bu nedenle tehdit aktörlerinin her iki Windows son noktalarını fidye yazılımı saldırısı yürütmeyi hedeflediğini varsayabiliriz, aynı zamanda büyük kuruluşlar tarafından sıklıkla arka planları başlatmak için kullanılan yazılımı hedeflemek için Linux sunucularını da varsayabiliriz. Cryptominers - Aqua Security
İnternete bağlı cihazlar için Shodan arama motorunu kullanan araştırmacıların bulgularına dayanarak, genel web'de 230.000'den fazla weblik sunucusu var.
Aqua Security'nin raporunun son bölümünde kapsamlı bir savunma önlemleri ve hafifletme listesi bulunmaktadır.
Gizli 'Sedexp' Linux kötü amaçlı yazılımdan kaçınmış tespit iki yıldır
Google kimlik bilgilerini çalmak için kötü amaçlı yazılım tarayıcısını kiosk modunda kilitler
Yeni VO1D kötü amaçlı yazılım 1,3 milyon Android akış kutusuna bulaştı
Spyagent Android kötü amaçlı yazılım, kripto kurtarma cümlelerinizi resimlerden çalıyor
Python geliştiricilerini hacklemek için kullanılan sahte şifre yöneticisi kodlama testi
Kaynak: Bleeping Computer