Investigadores en ciberseguridad han identificado una nueva campaña de malware dirigida a entornos Linux con el objetivo de realizar minería ilícita de criptomonedas y distribuir malware de botnet.
Esta actividad, que se enfoca específicamente en el servidor Oracle Weblogic, está diseñada para introducir una variante de malware denominada Hadooken, según la empresa de seguridad en la nube Aqua.
“Al ejecutar Hadooken, este descarga un malware llamado Tsunami y despliega un minero de criptomonedas”, comentó el investigador de seguridad Assaf Moran.
Las cadenas de ataque aprovechan vulnerabilidades de seguridad conocidas y configuraciones incorrectas, como el uso de credenciales débiles, para establecer una primera posición y ejecutar código arbitrario en las instancias vulnerables.
Esto se logra mediante el lanzamiento de dos cargas útiles casi idénticas: una escrita en Python y otra en forma de script de shell. Ambas son responsables de descargar el malware Hadooken desde un servidor remoto (“89.185.85[.]102” o “185.174.136[.]204”).
“Además, la versión del script de shell intenta recorrer varios directorios que contienen datos de SSH (como credenciales de usuario, información de hosts y secretos) y utiliza esta información para atacar servidores conocidos”, explicó Morag.
“Posteriormente, el malware se propaga lateralmente dentro de la organización o en entornos conectados para extender aún más la infección de Hadooken.”
Hadooken incluye dos componentes principales: un minero de criptomonedas y una botnet de denegación de servicio distribuido (DDoS) llamada Tsunami (también conocida como Kaiten), que ha sido utilizada previamente para atacar servicios de Jenkins y Weblogic desplegados en clústeres de Kubernetes.
Además, este malware asegura su persistencia en el sistema anfitrión creando tareas programadas (cron jobs) que ejecutan el minero de criptomonedas periódicamente con diferentes frecuencias.
Las capacidades de evasión de Hadooken se logran mediante una combinación de tácticas, como el uso de cargas útiles codificadas en Base64, la descarga de los mineros bajo nombres aparentemente inofensivos como “bash” y “java” para mezclarse con procesos legítimos, y la eliminación de artefactos tras su ejecución para ocultar cualquier indicio de actividad maliciosa.
Aqua indicó que la dirección IP 89.185.85[.]102 está registrada en Alemania a nombre de la empresa de hosting Aeza International LTD (AS210644). Un informe previo de Uptycs en febrero de 2024 la vinculaba con una campaña de criptomonedas del grupo 8220 Gang, que explotaba vulnerabilidades en Apache Log4j y Atlassian Confluence Server and Data Center.
La segunda dirección IP, 185.174.136[.]204, aunque actualmente está inactiva, también está asociada a Aeza Group Ltd. (AS216246). Como señalaron Qurium y EU DisinfoLab en julio de 2024, Aeza es un proveedor de servicios de hosting resistente a ataques, con presencia en Moscú M9 y en dos centros de datos en Frankfurt.
“El método de operación de Aeza y su rápido crecimiento pueden atribuirse al reclutamiento de jóvenes desarrolladores vinculados a proveedores de hosting resistentes en Rusia, que brindan refugio al cibercrimen”, concluyeron los investigadores en el informe.
Hashes MD5:
Binary file: MD5: cdf3fce392df6fbb3448c5d26c8d053e – Hadooken malware
Binary file: MD5: 4a12098c3799ce17d6d59df86ed1a5b6 – Mallox malware
Binary file: MD5: b9f096559e923787ebb1288c93ce2902 – Packed Cryptominer
Binary file: MD5: 9bea7389b633c331e706995ed4b3999c – Unpacked Cryptominer
Binary file: MD5: 8eef5aa6fa9859c71b55c1039f02d2e6 – Tsunami malware
Powershell: MD5: c1897ea9457343bd8e73f98a1d85a38f – b.ps1
Shell script: MD5: 249871cb1c396241c9fcd0fd8f9ad2ae – C
Python script: MD5: 73d96a4316182cd6417bdab86d4df1fc – Y