Malware Hadook

Los expertos en ciberseguridad han descubierto una nueva campaña de malware dirigida a los sistemas Linux, que se centra en la minería ilegal de criptomonedas y la propagación de malware de botnet. Esta campaña se dirige explícitamente a los servidores Oracle Weblogic y distribuye una variante de malware llamada Hadooken. Una vez ejecutada, Hadooken instala el malware Tsunami y lanza un minero de criptomonedas. El ataque explota vulnerabilidades conocidas y configuraciones erróneas del sistema, como credenciales débiles, para obtener acceso inicial y ejecutar código arbitrario en instancias vulnerables.

La cadena de ataque del malware Hadooke

Este ataque implica la implementación de dos payloads casi idénticos: uno escrito en Python y el otro como un script de shell. Ambos son responsables de obtener el malware Hadooken de servidores remotos ('89.185.85.102' o '185.174.136.204').

La versión del script de shell también escanea directorios que contienen datos SSH, como credenciales de usuario, detalles del host y secretos, y aprovecha esta información para atacar servidores conocidos. Luego se mueve lateralmente dentro de la red o entornos conectados, propagando aún más el malware Hadooken.

Hadooken consta de dos componentes principales: un minero de criptomonedas y una botnet de denegación de servicio distribuida (DDoS) conocida como Tsunami (también conocida como Kaiten). El malware tiene antecedentes de atacar servicios de Jenkins y Weblogic en clústeres de Kubernetes. El malware también garantiza la persistencia en el host infectado mediante la creación de trabajos cron para ejecutar el minero de criptomonedas en intervalos variables.

Para evadir su detección, Hadooken emplea varias tácticas, incluyendo cargas útiles codificadas en Base64, disfrazando cargas útiles de mineros con nombres inofensivos como 'bash' y 'java' para mezclarse con procesos legítimos y eliminando artefactos después de la ejecución para cubrir cualquier rastro de su actividad dañina.

Conexiones con grupos de ciberdelincuencia

Los investigadores de ciberseguridad han identificado la dirección IP 89.185.85.102 como registrada en Alemania bajo la empresa de alojamiento Aeza International LTD (AS210644). En febrero de 2024, esta IP fue vinculada a una campaña de criptomonedas por parte de 8220 Gang, que explotó vulnerabilidades en Apache Log4j y Atlassian Confluence Server and Data Center.

La segunda dirección IP, 185.174.136.204, aunque actualmente está inactiva, también está asociada a Aeza Group Ltd. (AS216246). Como se señaló en julio de 2024, Aeza es un proveedor de alojamiento a prueba de balas con operaciones en Moscú M9 y dos centros de datos en Frankfurt. El rápido crecimiento y el modelo operativo de Aeza se atribuyen a su contratación de jóvenes desarrolladores conectados a servicios de alojamiento a prueba de balas rusos, que brindan refugios seguros para actividades cibercriminales.