ハッカーはOracle WebLogicサーバーを標的に、クリプトマイナーと分散型サービス拒否(DDoS)攻撃ツールを起動する新しいLinuxマルウェア「Hadooken」に感染させている。
このマルウェアは、クリプトマイナーと分散型サービス拒否(DDoS)攻撃用のツールを起動します。
コンテナ・セキュリティ・ソリューション企業Aqua Securityの研究者は、脆弱な認証情報のために脅威者が侵入したハニーポットで、このような攻撃を観測した。
Oracle WebLogic Serverは、大規模な分散アプリケーションの構築、デプロイ、管理に使用されるエンタープライズレベルのJava EEアプリケーション・サーバーである。
この製品は、銀行や金融サービス、電子商取引、電気通信、政府機関、公共サービスなどで一般的に使用されています。
攻撃者がWebLogicを標的にするのは、一般的に豊富な処理リソースを享受するビジネスクリティカルな環境で人気があり、クリプトマイニングやDDoS攻撃に理想的であるためです。
Hadookenの猛攻撃
攻撃者は環境に侵入して十分な権限を得ると、”c “というシェルスクリプトと “y “というPythonスクリプトをダウンロードします。
この2つのスクリプトは両方ともHadookenをドロップするが、シェルコードは様々なディレクトリでSSHデータを探そうとし、その情報を使って既知のサーバーを攻撃する、と研究者は言う。
さらに『c』は、Hadookenを配布するためにネットワーク上を横方向に移動する。
ソースはこちら:Aquasec
Hadookenは次に、クリプトマイナーとTsunamiマルウェアをドロップして実行し、ランダムな名前とペイロードの実行頻度で複数のcronジョブをセットアップする。
TsunamiはLinuxのDDoSボットネットマルウェアで、脆弱なパスワードに対するブルートフォース攻撃によって脆弱なSSHサーバーを感染させます。
攻撃者は以前、Tsunamiを使用してDDoS攻撃や侵害されたサーバーの遠隔操作を行っており、またMoneroマイナーと一緒に配備されていることも確認されている。
Aqua Securityの研究者は、Hadookenが悪意のあるサービスを’-bash’または’-java’として再構築することで、正規のプロセスを模倣し、通常のオペレーションに紛れ込ませることを強調している。
このプロセスが完了すると、悪意のある活動の兆候を隠すためにシステムログが消去され、発見やフォレンジック分析が困難になります。
Hadookenのバイナリの静的解析により、RHOMBUSおよびNoEscapeランサムウェアファミリーへのリンクが発見されたが、観測された攻撃ではランサムウェアモジュールは展開されていなかった。
研究者らは、サーバーへのアクセスは、オペレーターが手動でチェックを行った後など、特定の条件下でランサムウェアを展開するために使われるのではないかという仮説を立てている。また、この機能は将来のリリースで導入される可能性もある。
ソースはこちら:アクアセック
さらに、Hadookenを配信しているサーバーの1つ(89.185.85[.]102)で、研究者はWindows用のランサムウェアMalloxをダウンロードするPowerShellスクリプトを発見しました。
このIPアドレスがこのランサムウェアの拡散に使用されているという報告もあることから、脅威の主体は、ランサムウェア攻撃を実行するためにWindowsエンドポイントだけでなく、バックドアやクリプトマイナーを起動するために大組織でよく使用されるソフトウェアを標的とするLinuxサーバーも標的にしていると推測できます –Aqua Security
インターネットに接続されたデバイスの検索エンジン「Shodan」を使用した研究者の調査結果によると、パブリックウェブ上には23万台以上のWeblogicサーバーが存在します。
防御策と緩和策の包括的なリストは、Aqua Securityのレポートの最後のセクションにあります。
Comments