Peneliti keamanan siber telah mengungkap kampanye malware baru yang menargetkan lingkungan Linux untuk melakukan penambangan mata uang kripto ilegal.
Aktivitas yang secara khusus menargetkan server Oracle Weblogic ini dirancang untuk mengirimkan malware yang dijuluki Kota Hadookenmenurut perusahaan keamanan cloud Aqua.
“Saat Hadooken dijalankan, ia menjatuhkan malware Tsunami dan menyebarkan penambang kripto,” kata peneliti keamanan Assaf Moran.
Rangkaian serangan mengeksploitasi kerentanan keamanan yang diketahui dan kesalahan konfigurasi, seperti kredensial yang lemah, untuk memperoleh pijakan awal dan mengeksekusi kode arbitrer pada instans yang rentan.
Hal ini dilakukan dengan meluncurkan dua muatan yang hampir identik, satu ditulis dalam Python dan yang lainnya, skrip shell, yang keduanya bertanggung jawab untuk mengambil malware Hadooken dari server jarak jauh (“89.185.85[.]102” atau “185.174.136[.]204”).
“Selain itu, versi skrip shell mencoba mengulangi berbagai direktori yang berisi data SSH (seperti kredensial pengguna, informasi host, dan rahasia) dan menggunakan informasi ini untuk menyerang server yang dikenal,” kata Morag.
“Kemudian bergerak secara lateral melintasi organisasi atau lingkungan yang terhubung untuk menyebarkan malware Hadooken lebih lanjut.”
Hadooken hadir dengan dua komponen, penambang mata uang kripto dan botnet penolakan layanan terdistribusi (DDoS) bernama Tsunami (alias Kaiten), yang memiliki riwayat menargetkan layanan Jenkins dan Weblogic yang diterapkan dalam kluster Kubernetes.
Lebih jauh lagi, malware tersebut bertanggung jawab untuk membangun persistensi pada host dengan membuat pekerjaan cron untuk menjalankan penambang kripto secara berkala pada frekuensi yang bervariasi.
Aqua mencatat bahwa alamat IP 89.185.85[.]102 terdaftar di Jerman di bawah perusahaan hosting Aeza International LTD (AS210644), dengan laporan sebelumnya dari Uptycs pada Februari 2024 yang menghubungkannya dengan kampanye mata uang kripto 8220 Gang dengan menyalahgunakan kelemahan di Apache Log4j dan Atlassian Confluence Server dan Pusat Data.
Alamat IP kedua 185.174.136[.]204, meskipun saat ini tidak aktif, juga terhubung dengan Aeza Group Ltd. (AS216246). Seperti yang disorot oleh Qurium dan EU DisinfoLab pada bulan Juli 2024, Aeza adalah penyedia layanan hosting yang tangguh dengan kantor pusat di Moscow M9 dan di dua pusat data di Frankfurt.
“Modus operandi Aeza dan pertumbuhannya yang cepat dapat dijelaskan oleh perekrutan pengembang muda yang berafiliasi dengan penyedia hosting antipeluru di Rusia yang menawarkan perlindungan terhadap kejahatan dunia maya,” kata para peneliti dalam laporan tersebut.