黑客瞄準 Oracle WebLogic 服務器，用一種名為“Hadooken”的新 Linux 惡意軟件感染它們，該惡意軟件會啟動一個加密礦工和一個分布式拒絕服務 (DDoS) 攻擊工具。

獲得的訪問權限還可能用于對 Windows 系統(tǒng)執(zhí)行勒索軟件攻擊。容器安全解決方案公司 Aqua Security 的研究人員在蜜罐上觀察到了這種攻擊，威脅者由于憑證薄弱而攻破了蜜罐。

Oracle WebLogic Server 是一款企業(yè)級 Java EE 應用服務器，用于構建、部署和管理大規(guī)模分布式應用程序。該產(chǎn)品常用于銀行和金融服務、電子商務、電信、政府組織和公共服務。

攻擊者之所以將 WebLogic 視為目標，是因為它在業(yè)務關鍵型環(huán)境中非常受歡迎，這些環(huán)境通常擁有豐富的處理資源，是加密貨幣挖礦和 DDoS 攻擊的理想選擇。

Hadooken 猛烈攻擊

一旦攻擊者破壞環(huán)境并獲得足夠的權限，他們就會下載名為“c”的 shell 腳本和名為“y”的 Python 腳本。

研究人員表示，這兩個腳本都會釋放 Hadooken，但 shell 代碼還會嘗試在各個目錄中查找 SSH 數(shù)據(jù)，并利用這些信息攻擊已知服務器。此外，“c”還會在網(wǎng)絡上橫向移動以分發(fā) Hadooken。

在已知主機上搜索 SSH 密鑰

反過來，Hadooken 會投放并執(zhí)行加密貨幣挖礦程序和 Tsunami 惡意軟件，然后設置多個 cron 作業(yè)，這些作業(yè)的名稱和有效負載執(zhí)行頻率都是隨機的。

Tsunami 是一種 Linux DDoS 僵尸網(wǎng)絡惡意軟件，它通過對弱密碼進行暴力攻擊來感染易受攻擊的 SSH 服務器。

攻擊者之前曾使用 Tsunami 對受感染的服務器發(fā)起 DDoS 攻擊和遠程控制，而它再次被發(fā)現(xiàn)與 Monero 礦工一起部署。

Aqua Security 研究人員強調(diào)，Hadooken 將惡意服務重命名為“-bash”或“-java”，以模仿合法進程并與正常操作混合。

完成此過程后，系統(tǒng)日志將被清除以隱藏惡意活動的跡象，從而使發(fā)現(xiàn)和取證分析變得更加困難。

對 Hadooken 二進制文件的靜態(tài)分析揭示了與 RHOMBUS 和 NoEscape 勒索軟件家族的聯(lián)系，但在觀察到的攻擊中沒有部署勒索軟件模塊。

研究人員推測，在某些條件下，例如在操作員進行手動檢查后，服務器訪問權限可能會被用來部署勒索軟件。未來版本也有可能引入此功能。

Hadooken 攻擊概述

此外，在提供 Hadooken (89.185.85[.]102) 的其中一臺服務器上，研究人員發(fā)現(xiàn)了一個 PowerShell 腳本，該腳本下載了適用于 Windows 的 Mallox 勒索軟件。

有報道稱，該 IP 地址用于傳播勒索軟件，因此我們可以假設威脅者不僅針對 Windows 端點執(zhí)行勒索軟件攻擊，還針對 Linux 服務器，以攻擊大型組織經(jīng)常使用的軟件來啟動后門和加密礦工 - Aqua Security

根據(jù)研究人員使用 Shodan 搜索引擎對聯(lián)網(wǎng)設備進行搜索的結果顯示，公共網(wǎng)絡上已有超過 230,000 臺 Weblogic 服務器。