Hadooken-Malware

Cybersicherheitsexperten haben eine neue Malware-Kampagne entdeckt, die auf Linux-Systeme abzielt und sich auf illegales Mining von Kryptowährungen und die Verbreitung von Botnet-Malware konzentriert. Diese Kampagne zielt explizit auf die Oracle Weblogic-Server ab und liefert eine Malware-Variante namens Hadooken. Nach der Ausführung installiert Hadooken die Tsunami- Malware und startet einen Krypto-Miner. Der Angriff nutzt bekannte Schwachstellen und Systemfehlkonfigurationen wie schwache Anmeldeinformationen aus, um ersten Zugriff zu erhalten und beliebigen Code auf anfälligen Instanzen auszuführen.

Die Angriffskette der Hadooken-Malware

Bei diesem Angriff werden zwei nahezu identische Payloads eingesetzt: eine in Python geschrieben und die andere als Shell-Skript. Beide sind dafür verantwortlich, die Hadooken-Malware von Remote-Servern ('89.185.85.102' oder '185.174.136.204') abzurufen.

Die Shell-Skript-Version scannt zusätzlich Verzeichnisse, die SSH-Daten enthalten, wie etwa Benutzeranmeldeinformationen, Hostdetails und Geheimnisse, und nutzt diese Informationen, um bekannte Server anzugreifen. Anschließend bewegt sie sich lateral innerhalb des Netzwerks oder verbundener Umgebungen und verbreitet die Hadooken-Malware weiter.

Hadooken besteht aus zwei Hauptkomponenten: einem Kryptowährungs-Miner und einem Distributed-Denial-of-Service (DDoS)-Botnetz namens Tsunami (auch bekannt als Kaiten). Die Malware hat in der Vergangenheit Jenkins- und Weblogic-Dienste in Kubernetes-Clustern angegriffen. Die Malware sorgt außerdem für Persistenz auf dem infizierten Host, indem sie Cron-Jobs erstellt, um den Krypto-Miner in unterschiedlichen Intervallen auszuführen.

Um einer Entdeckung zu entgehen, verwendet Hadooken verschiedene Taktiken. Dazu gehören Base64-kodierte Payloads, das Verschleiern von Miner-Payloads mit harmlosen Namen wie „bash“ und „java“, um sie in legitime Prozesse einzufügen, und das Löschen von Artefakten nach der Ausführung, um alle Spuren seiner schädlichen Aktivitäten zu verwischen.

Verbindungen zu Cybercrime-Gruppen

Cybersicherheitsforscher haben die IP-Adresse 89.185.85.102 als in Deutschland registriert beim Hosting-Unternehmen Aeza International LTD (AS210644) identifiziert. Im Februar 2024 wurde diese IP mit einer Kryptowährungskampagne der 8220 Gang in Verbindung gebracht, die Schwachstellen in Apache Log4j und Atlassian Confluence Server und Data Center ausnutzte.

Die zweite IP-Adresse, 185.174.136.204, ist zwar derzeit inaktiv, wird aber ebenfalls mit der Aeza Group Ltd. (AS216246) in Verbindung gebracht. Wie im Juli 2024 festgestellt, ist Aeza ein Bulletproof-Hosting-Anbieter mit Niederlassungen in Moskau M9 und zwei Rechenzentren in Frankfurt. Aezas schnelles Wachstum und sein Betriebsmodell sind auf die Rekrutierung junger Entwickler zurückzuführen, die mit russischen Bulletproof-Hosting-Diensten verbunden sind, die sichere Häfen für cyberkriminelle Aktivitäten bieten.