Исследователи кибербезопасности выявили новую вредоносную кампанию, которая использует уязвимости в Linux-системах для проведения незаконного майнинга криптовалют и запуска DDoS-атак. В основе этой кампании лежит вредоносное ПО под названием Hadooken, разработанное для заражения серверов Oracle Weblogic.
Hadooken использует цепочку атак, которая начинается с эксплуатации известных уязвимостей в системе безопасности и неправильной конфигурации, например, слабых учетных данных. Вредоносное ПО проникает в систему, используя две почти идентичные полезные нагрузки - Python-скрипт и скрипт оболочки. Обе эти нагрузки отвечают за извлечение Hadooken с удаленного сервера (89.185.85 . 102 или 185.174.136 . 204).
Что делает Hadooken после проникновения?
1. Удаление Tsunami: Как только Hadooken запускается, он удаляет другое вредоносное ПО, известное как Tsunami (также называемое Kaiten). Tsunami, в свою очередь, использовалось для атак на сервисы Jenkins и Weblogic, работающие в кластерах Kubernetes.
2. Запуск майнера: После удаления Tsunami, Hadooken запускает криптомайнер, который использует вычислительные ресурсы зараженного сервера для майнинга криптовалют, приносящих прибыль злоумышленникам.
3. Распространение через SSH: Скрипт оболочки Hadooken анализирует различные каталоги, содержащие данные SSH (такие как учетные данные пользователя, информацию о хосте и секреты). Эта информация используется для атаки на другие серверы в сети.
4. Размещение ботнета: Hadooken включает в себя два компонента: криптомайнер и распределенный ботнет DDoS типа "отказ в обслуживании" (Tsunami), который может быть использован для проведения массовых DDoS-атак.
Зараженные серверы будут использоваться для майнинга криптовалют без ведома владельцев. Это может привести к значительным затратам на электроэнергию и снижению производительности сервера.
Bотнет Tsunami может быть использован для запуска DDoS-атак на другие системы, нарушая доступ к сайтам и сервисам.
Скрипт оболочки Hadooken может красть данные SSH, что дает злоумышленникам доступ к учетным записям и конфиденциальной информации.