网络安全研究人员发现了一个针对 Linux 环境的新恶意软件活动,以进行非法加密货币挖掘并传播僵尸网络恶意软件。
据云安全公司 Aqua 称,该活动专门针对 Oracle Weblogic 服务器,旨在提供一种名为 Hadoop 的恶意软件。
“当 Hadooken 被执行时,它会放置一个 Tsunami 恶意软件并部署一个加密矿工,”安全研究员 Assaf Moran 说。
攻击链利用已知的安全漏洞和错误配置(例如弱凭据)来获得初始立足点并在易受攻击的实例上执行任意代码。
这是通过启动两个几乎相同的有效载荷来实现的,一个是用 Python 编写的,另一个是 shell 脚本,这两个脚本都负责从远程服务器检索 Hadooken 恶意软件(“89.185.85[.]102“ 或 ”185.174.136[.]204”)。
“此外,shell 脚本版本会尝试迭代包含 SSH 数据(例如用户凭证、主机信息和机密)的各种目录,并使用这些信息来攻击已知服务器,”Morag 说。
“然后,它会在组织或连接环境中横向移动,以进一步传播 Hadooken 恶意软件。”
Hadooken 嵌入了两个组件,一个是加密货币矿工和一个名为 Tsunami(又名 Kaiten)的分布式拒绝服务 (DDoS) 僵尸网络,该僵尸网络有针对 Kubernetes 集群中部署的 Jenkins 和 Weblogic 服务的历史。
此外,恶意软件负责通过创建 cron 作业以不同的频率定期运行加密矿工来在主机上建立持久性。
Aqua 指出 IP 地址 89.185.85[.]102 在德国注册在托管公司 Aeza International Ltd (AS210644) 下,Uptycs 在 2024 年 2 月的一份报告中通过滥用 Apache Log4j 和 Atlassian Confluence 服务器和数据中心中的缺陷,将其与 8220 Gang 加密货币活动联系起来。
第二个 IP 地址 185.174.136[.]204 虽然目前处于非活跃状态,但也与 Aeza Group Ltd. (AS216246) 有关联。正如 Qurium 和 EU DisinfoLab 在 2024 年 7 月所强调的那样,Aeza 是一家防弹托管服务提供商,在莫斯科 M9 和法兰克福的两个数据中心都有业务。
研究人员在报告中说:“Aeza 的运作方式及其快速增长可以用招募隶属于俄罗斯防弹托管提供商的年轻开发人员来解释,这些提供商为网络犯罪提供庇护所。
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。 |
END
原文始发于微信公众号(信息安全大事件):新的 Linux 恶意软件活动利用 Oracle Weblogic 挖掘加密货币
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论