威胁行为者正在使用“Hadooken”在 Oracle WebLogic Server 上投放加密挖矿程序和分布式拒绝服务 (DDoS) 恶意软件。Aqua Nautilus 的研究人员在上个月袭击他们的一个蜜罐时发现了该恶意软件。他们随后的分析表明,Hadooken 是攻击链中的主要有效载荷,该攻击链始于威胁行为者暴力侵入 Aqua 保护较弱的 WebLogic 蜜罐的管理面板。Hadooken 的作者似乎以《街头霸王》系列视频游戏中标志性的 Surge Fist 动作命名了该恶意软件。一旦进入 Aqua 系统,攻击者就使用两个功能几乎相同的脚本(一个 Python 脚本和一个“c”shell 脚本)将 Hadooken 下载到其中,其中一个脚本可能充当另一个的备份。Aqua 发现这两个脚本都旨在对受感染的蜜罐运行 Hadooken,然后删除该文件。“此外,shell 脚本版本试图迭代包含 SSH 数据(例如用户凭据、主机信息和机密)的各种目录,并使用这些信息来攻击已知服务器,”Aqua 的首席研究员 Assaf Morag 在一份报告中说。“然后,它会在组织或连接环境中横向移动,以进一步传播 Hadooken 恶意软件。”有价值的目标Oracle WebLogic Server 允许客户构建和部署 Java 应用程序。数以千计的组织(包括一些世界上最大的银行和金融服务公司、专业服务公司、医疗保健实体和制造公司)已经部署了 WebLogic。这些部署包括实现 Java 企业应用程序环境的现代化、在云中部署 Java 应用程序以及构建 Java 微服务。多年来,关键漏洞(包括那些能够完全接管 WebLogic Server 的漏洞)使该技术成为攻击的常见目标。配置错误(例如弱密码和暴露在 Internet 上的管理控制台)加剧了平台周围的风险。在 Aqua 的蜜罐攻击中,威胁行为者通过暴力破解安全供应商故意设置的弱密码,获得了对 WebLogic 服务器的初始访问权限。Hadooken 随后删除了两个可执行文件:Tsunami,一种至少可以追溯到十年前用于众多 DDoS 攻击的恶意软件;和一个加密矿工。此外,Aqua 发现恶意软件创建了多个 cron 作业——这些作业安排命令或脚本以特定的时间间隔或时间自动运行——以保持在受感染系统上的持久性。可能带来更多麻烦Aqua 的分析显示,没有迹象表明对手实际上在攻击中使用了 Tsunami,但安全供应商并不排除这种情况在后期发生的可能性。同样有可能的是,攻击者可以相对容易地调整 Hadooken 以针对其他 Linux 平台,Morag 告诉 Dark Reading。“目前,我们只看到攻击者正在暴力破解 WebLogic 服务器的迹象,”Morag 说。“但根据其他攻击和活动,我们假设攻击者不会将自己局限于 WebLogic。”攻击者很可能不会在未来的 Hadooken 活动中将自己局限于加密货币和 DDoS 恶意软件。Aqua 对恶意软件的静态分析显示,代码中与 Rhombus 和 NoEscape 勒索软件有链接,但在对其蜜罐的攻击期间没有实际使用代码。Aqua 发现威胁行为者使用两个 IP 地址(一个在德国,另一个在俄罗斯)在受感染的系统上下载 Hadooken。Aqua 表示,德国 IP 地址是另外两个威胁组织——TeamTNT 和 Gang 8220——在以前的活动中使用的地址,但没有迹象表明它们与 Hadooken 活动有关。该公司建议组织考虑使用基础设施即代码扫描工具、云安全态势管理工具、Kubernetes 安全和配置工具、运行时安全工具和容器安全工具等机制来缓解 Hadoop 等威胁。
