El nuevo malware de Linux Hadooken ataca a los servidores Oracle WebLogic

Iniciado por AXCESS, Septiembre 14, 2024, 04:59:48 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los piratas informáticos están atacando los servidores Oracle WebLogic para infectarlos con un nuevo malware para Linux llamado "Hadooken", que lanza un criptominero y una herramienta para realizar ataques de denegación de servicio distribuido (DDoS).

El acceso obtenido también puede utilizarse para ejecutar ataques de ransomware en sistemas Windows.

Los investigadores de la empresa de soluciones de seguridad para contenedores Aqua Security observaron un ataque de este tipo en un honeypot, que el actor de la amenaza vulneró gracias a credenciales débiles.

Oracle WebLogic Server es un servidor de aplicaciones Java EE de nivel empresarial que se utiliza para crear, implementar y administrar aplicaciones distribuidas a gran escala.

El producto se utiliza comúnmente en servicios bancarios y financieros, comercio electrónico, telecomunicaciones, organizaciones gubernamentales y servicios públicos.

Los atacantes apuntan a WebLogic debido a su popularidad en entornos críticos para las empresas que suelen disfrutar de abundantes recursos de procesamiento, lo que los hace ideales para la criptominería y los ataques DDoS.

Hadooken golpea con fuerza

Una vez que los atacantes violan un entorno y obtienen los privilegios suficientes, descargan un script de shell llamado "c" y un script de Python llamado "y".

Ambos scripts descargan Hadooken, pero el código de shell también intenta buscar datos SSH en varios directorios y utiliza la información para atacar servidores conocidos, dicen los investigadores.

Además, "c" se mueve lateralmente en la red para distribuir Hadooken.


Búsqueda de claves SSH en hosts conocidos
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Hadooken, a su vez, instala y ejecuta un criptominero y el malware Tsunami y luego configura múltiples trabajos cron con nombres aleatorios y frecuencias de ejecución de cargas útiles.

Tsunami es un malware de botnet DDoS de Linux que infecta servidores SSH vulnerables mediante ataques de fuerza bruta a contraseñas débiles.

Los atacantes han utilizado anteriormente Tsunami para lanzar ataques DDoS y control remoto en servidores comprometidos, mientras que se lo ha visto nuevamente implementado junto con mineros de Monero.

Los investigadores de Aqua Security destacan la práctica de Hadooken de renombrar los servicios maliciosos como '-bash' o '-java', para imitar procesos legítimos y mezclarse con operaciones normales.

Una vez que se completa este proceso, se borran los registros del sistema para ocultar los signos de actividad maliciosa, lo que dificulta el descubrimiento y el análisis forense.

El análisis estático del binario Hadooken descubrió vínculos con las familias de ransomware RHOMBUS y NoEscape, aunque no se implementaron módulos de ransomware en los ataques observados.

Los investigadores plantean la hipótesis de que el acceso al servidor puede utilizarse para distribuir ransomware en determinadas condiciones, como después de que los operadores realicen comprobaciones manuales. También es posible que esta capacidad se incorpore en una versión futura.

Descripción general del ataque Hadooken
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Además, en uno de los servidores que distribuyen Hadooken (89.185.85[.]102), los investigadores descubrieron un script de PowerShell que descargaba el ransomware Mallox para Windows.

Hay algunos informes que indican que esta dirección IP se utiliza para difundir este ransomware, por lo que podemos suponer que los actores de la amenaza están apuntando tanto a los puntos finales de Windows para ejecutar un ataque de ransomware, como a los servidores Linux para atacar el software que suelen utilizar las grandes organizaciones para lanzar puertas traseras y criptomineros - Aqua Security

Según los hallazgos de los investigadores utilizando el motor de búsqueda Shodan para dispositivos conectados a Internet, hay más de 230.000 servidores Weblogic en la web pública.

En la sección final del informe de Aqua Security se incluye una lista completa de medidas de defensa y mitigaciones:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta