Logiciel malveillant Hadooken

Des experts en cybersécurité ont découvert une nouvelle campagne de malware visant les systèmes Linux, axée sur l'extraction illégale de cryptomonnaies et la propagation de malwares de type botnet. Cette campagne cible explicitement les serveurs Oracle Weblogic, en diffusant une variante de malware appelée Hadooken. Une fois exécutée, Hadooken installe le malware Tsunami et lance un mineur de cryptomonnaies. L'attaque exploite des vulnérabilités bien connues et des erreurs de configuration du système, telles que des informations d'identification faibles, pour obtenir un accès initial et exécuter du code arbitraire sur des instances vulnérables.

La chaîne d'attaque du malware Hadooken

Cette attaque consiste à déployer deux charges utiles quasiment identiques : l'une écrite en Python et l'autre sous forme de script shell. Toutes deux sont chargées de récupérer le malware Hadooken à partir de serveurs distants ('89.185.85.102' ou '185.174.136.204').

La version script shell analyse également les répertoires contenant des données SSH, telles que les informations d'identification de l'utilisateur, les détails de l'hôte et les secrets, en exploitant ces informations pour cibler les serveurs connus. Il se déplace ensuite latéralement au sein du réseau ou des environnements connectés, propageant ainsi davantage le malware Hadooken.

Hadooken se compose de deux composants principaux : un mineur de cryptomonnaie et un botnet de déni de service distribué (DDoS) connu sous le nom de Tsunami (alias Kaiten). Le malware a pour habitude d'attaquer les services Jenkins et Weblogic dans les clusters Kubernetes. Le malware assure également la persistance sur l'hôte infecté en créant des tâches cron pour exécuter le mineur de cryptomonnaie à des intervalles variables.

Pour échapper à la détection, Hadooken emploie plusieurs tactiques, notamment des charges utiles codées en Base64, en dissimulant les charges utiles des mineurs avec des noms inoffensifs comme « bash » et « java » pour se fondre dans les processus légitimes, et en supprimant les artefacts après l'exécution pour couvrir toute trace de son activité nuisible.

Connexions avec des groupes de cybercriminalité

Des chercheurs en cybersécurité ont identifié l'adresse IP 89.185.85.102 comme étant enregistrée en Allemagne auprès de la société d'hébergement Aeza International LTD (AS210644). En février 2024, cette adresse IP a été liée à une campagne de cryptomonnaie menée par le gang 8220, qui exploitait des vulnérabilités dans Apache Log4j et Atlassian Confluence Server and Data Center.

La deuxième adresse IP, 185.174.136.204, bien qu'actuellement inactive, est également associée à Aeza Group Ltd. (AS216246). Comme indiqué en juillet 2024, Aeza est un fournisseur d'hébergement à toute épreuve avec des opérations à Moscou M9 et deux centres de données à Francfort. La croissance rapide et le modèle opérationnel d'Aeza sont attribués à son recrutement de jeunes développeurs connectés à des services d'hébergement à toute épreuve russes, qui offrent des refuges sûrs pour les activités cybercriminelles.