Um invasor desconhecido está explorando senhas fracas para invadir servidores Oracle WebLogic e implantar um malware Linux emergente chamado Hadooken, de acordo com pesquisadores da empresa de segurança em nuvem Aqua.
não está claro se o malware está sendo implantado em uma campanha concertada: disse o analista de dados líder da Aqua, Assaf Morag O Registro que sua equipe “sofreu algumas dezenas de ataques nas últimas semanas”.
O WebLogic é uma plataforma para executar aplicativos em escala empresarial e está frequentemente presente em provedores de serviços financeiros, operações de comércio eletrônico e outros sistemas críticos para os negócios. É frequentemente abusado como inclui vários vulnerabilidades.
Aqua capturou o malware em um servidor honeypot WebLogic. O ataque explorou uma senha fraca para obter entrada e, em seguida, executou remotamente um código malicioso. O primeiro payload executa um script de shell chamado “c” e um script Python chamado “y” – ambos tentaram baixar o Hadooken.
Hadooken, provavelmente nomeado em homenagem a um ataque na série de videogames Street Fighter, contém um criptominerador e o malware Tsunami – um botnet DDoS e backdoor que dá aos invasores controle remoto total sobre uma máquina infectada.
Os caçadores de ameaças da Aqua observaram que não viram evidências de Tsunami em ação, mas especularam que isso poderia ser usado mais tarde.
O malware também cria vários cronjobs para manter a persistência. O script de shell que inicia a diversão também pode roubar credenciais de usuário e outros segredos, que os invasores usam para se mover lateralmente e atacar outros servidores.
Aqua rastreou o malware Hadooken baixado de volta a dois endereços IP. Um dos quais está associado a uma empresa de hospedagem sediada no Reino Unido. Não há nenhuma sugestão de que a empresa tenha um papel em qualquer campanha de malware.
“TeamTNT e Gang 8220 usaram esse IP no passado, mas isso não diz nada sobre possível atribuição”, explicou Morag.
A Aqua também escreveu que a análise dos pesquisadores do binário Hadooken sugere ligações com as cepas de ransomware RHOMBUS e NoEscape.
“Assim, podemos assumir que os agentes da ameaça [are] visando … endpoints do Windows para executar um ataque de ransomware, mas também servidores Linux para atingir software frequentemente usado por grandes organizações para lançar backdoors e criptomineradores”, Morag escreveu em um relatório sobre Hadooken publicado na quinta-feira. ®
