Siber güvenlik araştırmacıları, yasadışı kripto para madenciliği yapmak amacıyla Linux ortamlarını hedef alan yeni bir kötü amaçlı yazılım saldırısını ortaya çıkardı.
Özellikle Oracle Weblogic sunucusunu hedef alan bu etkinlik, kötü amaçlı yazılım dağıtmak için tasarlanmıştır. HadookenBulut güvenlik firması Aqua’ya göre.
Güvenlik araştırmacısı Assaf Moran, “Hadooken çalıştırıldığında bir Tsunami kötü amaçlı yazılımı bırakıyor ve bir kripto madencisi devreye sokuyor” dedi.
Saldırı zincirleri, zayıf kimlik bilgileri gibi bilinen güvenlik açıklarını ve yanlış yapılandırmaları kullanarak, ilk tutunma noktasını elde eder ve hassas örneklerde keyfi kod yürütür.
Bu, biri Python’da, diğeri ise bir kabuk betiği olan ve her ikisi de Hadooken kötü amaçlı yazılımını uzak bir sunucudan (“89.185.85″) almakla sorumlu olan neredeyse aynı iki yükün başlatılmasıyla gerçekleştirilir.[.]102” veya “185.174.136”[.]204″).
Morag, “Ayrıca, kabuk betiği sürümü, SSH verilerini (kullanıcı kimlik bilgileri, ana bilgisayar bilgileri ve sırlar gibi) içeren çeşitli dizinler üzerinde yineleme yapmaya çalışır ve bu bilgileri bilinen sunuculara saldırmak için kullanır” dedi.
“Daha sonra kuruluş genelinde veya bağlı ortamlarda yatay olarak hareket ederek Hadooken kötü amaçlı yazılımını daha da yayıyor.”
Hadooken, bir kripto para madencisi ve Kubernetes kümelerinde konuşlandırılmış Jenkins ve Weblogic servislerini hedef alma geçmişine sahip Tsunami (diğer adıyla Kaiten) adlı dağıtılmış hizmet reddi (DDoS) botneti olmak üzere iki bileşenle birlikte geliyor.
Ayrıca kötü amaçlı yazılım, kripto madencisini değişen frekanslarda periyodik olarak çalıştırmak için cron işleri oluşturarak ana bilgisayarda kalıcılık sağlamaktan sorumludur.
Aqua, IP adresinin 89.185.85 olduğunu belirtti[.]102, Almanya’da Aeza International LTD (AS210644) barındırma şirketi altında kayıtlıdır ve Uptycs’in Şubat 2024’teki önceki bir raporunda, Apache Log4j ve Atlassian Confluence Server ve Data Center’daki kusurları kötüye kullanarak 8220 Gang kripto para birimi kampanyasına bağlanmıştır.
İkinci IP adresi 185.174.136[.]204, şu anda aktif olmasa da Aeza Group Ltd. (AS216246) ile bağlantılıdır. Qurium ve EU DisinfoLab tarafından Temmuz 2024’te vurgulandığı gibi, Aeza, Moskova M9’da ve Frankfurt’taki iki veri merkezinde varlığı olan kurşun geçirmez bir barındırma hizmeti sağlayıcısıdır.
Araştırmacılar raporda, “Aeza’nın işleyiş biçimi ve hızlı büyümesi, Rusya’da siber suçlara barınak sağlayan kurşun geçirmez barındırma sağlayıcılarına bağlı genç geliştiricilerin işe alınmasıyla açıklanabilir” ifadelerine yer verdi.