只针对 Linux，甲骨文 Weblogic 服务器被黑客入侵

网络安全研究人员发现了一个新的恶意软件活动，该活动针对Linux环境进行非法加密货币挖掘和交付僵尸网络恶意软件。

据云安全公司Aqua称，该活动专门针对Oracle Weblogic服务器，旨在提供一种被称为Hadooken的恶意软件菌株。

安全研究员Assaf Moran说，当Hadooken被处决时，它会投放海啸恶意软件，并部署加密矿工。

攻击链利用已知的安全漏洞和错误配置，如薄弱的凭据，以获得初始立足点，并在易受攻击的实例上执行任意代码。

这是通过启动两个几乎相同的有效负载来实现的，一个用Python编写，另一个是shell脚本，两者都负责从远程服务器（“89.185.85[.]102”或“185.174.136[.]”检索Hadooken恶意软件204英寸）

Morag说，此外，shell脚本版本试图迭代包含SSH数据（如用户凭据、主机信息和机密）的各种目录，并使用这些信息攻击已知的服务器。

“然后，它在组织或连接的环境中横向移动，以进一步传播Hadooken恶意软件。“

Hadooken嵌入了两个组件，一个加密货币矿工和一个名为Tsunami（又名Kaiten）的分布式拒绝服务（DDoS）僵尸网络，它有针对部署在Kubernetes集群中的Jenkins和Weblogic服务的历史。

此外，该恶意软件负责通过创建cron作业以不同频率定期运行加密矿工来在主机上建立持久性。

Hadooken的防御规避能力是通过一系列策略来实现的，这些策略涉及使用Base64编码的有效负载，将矿工有效负载以“bash”和“java”等无害名称删除以融入合法进程，以及在执行后删除工件以隐藏任何恶意活动迹象。

Aqua指出，IP地址89.185.85[.]102在德国托管公司Aeza International LTD（AS210644）下注册，Uptycs在2024年2月的一份报告将其与滥用Apache Log4j和Atlassian Confluence Server and Data Center中的缺陷的8220 Gang加密货币活动联系起来。

第二个IP地址185.174.136[.]204，虽然目前处于非活动状态，但也与Aeza Group Ltd相关联。（AS216246）。正如Qurium和EU DisinfoLab在2024年7月强调的那样，Aeza是一家防弹的托管服务提供商，在莫斯科M9和法兰克福的两个数据中心都有业务。

研究人员在报告中表示，Aeza的运作方式及其快速增长可以通过招募隶属于俄罗斯防弹托管提供商的年轻开发人员来解释，为网络犯罪提供庇护。

参考来源：thehackernews