黑客瞄準(zhǔn) Oracle WebLogic 服務(wù)器，用一種名為“Hadooken”的新 Linux 惡意軟件感染它們，該惡意軟件會(huì)啟動(dòng)一個(gè)加密礦工和一個(gè)分布式拒絕服務(wù) (DDoS) 攻擊工具。

獲得的訪問權(quán)限還可能用于對 Windows 系統(tǒng)執(zhí)行勒索軟件攻擊。容器安全解決方案公司 Aqua Security 的研究人員在蜜罐上觀察到了這種攻擊，威脅者由于憑證薄弱而攻破了蜜罐。

Oracle WebLogic Server 是一款企業(yè)級(jí) Java EE 應(yīng)用服務(wù)器，用于構(gòu)建、部署和管理大規(guī)模分布式應(yīng)用程序。該產(chǎn)品常用于銀行和金融服務(wù)、電子商務(wù)、電信、政府組織和公共服務(wù)。

攻擊者之所以將 WebLogic 視為目標(biāo)，是因?yàn)樗跇I(yè)務(wù)關(guān)鍵型環(huán)境中非常受歡迎，這些環(huán)境通常擁有豐富的處理資源，是加密貨幣挖礦和 DDoS 攻擊的理想選擇。

Hadooken 猛烈攻擊

一旦攻擊者破壞環(huán)境并獲得足夠的權(quán)限，他們就會(huì)下載名為“c”的 shell 腳本和名為“y”的 Python 腳本。

研究人員表示，這兩個(gè)腳本都會(huì)釋放 Hadooken，但 shell 代碼還會(huì)嘗試在各個(gè)目錄中查找 SSH 數(shù)據(jù)，并利用這些信息攻擊已知服務(wù)器。此外，“c”還會(huì)在網(wǎng)絡(luò)上橫向移動(dòng)以分發(fā) Hadooken。

在已知主機(jī)上搜索 SSH 密鑰

反過來，Hadooken 會(huì)投放并執(zhí)行加密貨幣挖礦程序和 Tsunami 惡意軟件，然后設(shè)置多個(gè) cron 作業(yè)，這些作業(yè)的名稱和有效負(fù)載執(zhí)行頻率都是隨機(jī)的。

Tsunami 是一種 Linux DDoS 僵尸網(wǎng)絡(luò)惡意軟件，它通過對弱密碼進(jìn)行暴力攻擊來感染易受攻擊的 SSH 服務(wù)器。

攻擊者之前曾使用 Tsunami 對受感染的服務(wù)器發(fā)起 DDoS 攻擊和遠(yuǎn)程控制，而它再次被發(fā)現(xiàn)與 Monero 礦工一起部署。

Aqua Security 研究人員強(qiáng)調(diào)，Hadooken 將惡意服務(wù)重命名為“-bash”或“-java”，以模仿合法進(jìn)程并與正常操作混合。

完成此過程后，系統(tǒng)日志將被清除以隱藏惡意活動(dòng)的跡象，從而使發(fā)現(xiàn)和取證分析變得更加困難。

對 Hadooken 二進(jìn)制文件的靜態(tài)分析揭示了與 RHOMBUS 和 NoEscape 勒索軟件家族的聯(lián)系，但在觀察到的攻擊中沒有部署勒索軟件模塊。

研究人員推測，在某些條件下，例如在操作員進(jìn)行手動(dòng)檢查后，服務(wù)器訪問權(quán)限可能會(huì)被用來部署勒索軟件。未來版本也有可能引入此功能。

Hadooken 攻擊概述

此外，在提供 Hadooken (89.185.85[.]102) 的其中一臺(tái)服務(wù)器上，研究人員發(fā)現(xiàn)了一個(gè) PowerShell 腳本，該腳本下載了適用于 Windows 的 Mallox 勒索軟件。

有報(bào)道稱，該 IP 地址用于傳播勒索軟件，因此我們可以假設(shè)威脅者不僅針對 Windows 端點(diǎn)執(zhí)行勒索軟件攻擊，還針對 Linux 服務(wù)器，以攻擊大型組織經(jīng)常使用的軟件來啟動(dòng)后門和加密礦工 - Aqua Security

根據(jù)研究人員使用 Shodan 搜索引擎對聯(lián)網(wǎng)設(shè)備進(jìn)行搜索的結(jié)果顯示，公共網(wǎng)絡(luò)上已有超過 230,000 臺(tái) Weblogic 服務(wù)器。