Les pirates ciblent les serveurs Oracle WebLogic pour les infecter avec un nouveau malware Linux nommé « Hadooken, qui lance un cryptomineur et un outil pour les attaques par déni de service distribué (DDoS).
L’accès obtenu peut également être utilisé pour exécuter des attaques de ransomware sur les systèmes Windows.
Des chercheurs de la société de solutions de sécurité des conteneurs Aqua Security ont observé une telle attaque sur un pot de miel, que l’auteur de la menace a violé en raison de faibles informations d’identification.
Oracle WebLogic Server est un serveur d’applications Java EE de niveau entreprise utilisé pour créer, déployer et gérer des applications distribuées à grande échelle.
Le produit est couramment utilisé dans les services bancaires et financiers, le commerce électronique, les télécommunications, les organisations gouvernementales et les services publics.
Les attaquants ciblent WebLogic en raison de sa popularité dans les environnements critiques pour l’entreprise qui bénéficient généralement de riches ressources de traitement, ce qui les rend idéales pour le minage de chiffrement et les attaques DDoS.
Hadooken frappe fort
Une fois que les attaquants ont violé un environnement et obtenu des privilèges suffisants, ils téléchargent un script shell nommé « c » et un script Python nommé « y ».
Les deux scripts suppriment tous les deux Hadooken, mais le code shell essaie également de rechercher des données SSH dans divers répertoires et utilise les informations pour attaquer des serveurs connus, selon les chercheurs.
De plus, ‘ c ‘ se déplace latéralement sur le réseau pour distribuer Hadooken.
Hadooken, à son tour, supprime et exécute un cryptomineur et le malware Tsunami, puis configure plusieurs tâches cron avec des noms aléatoires et des fréquences d’exécution des charges utiles.
Tsunami est un malware de botnet Linux DDoS qui infecte les serveurs SSH vulnérables par le biais d’attaques par force brute sur des mots de passe faibles.
Les attaquants ont déjà utilisé Tsunami pour lancer des attaques DDoS et un contrôle à distance sur des serveurs compromis, alors qu’il a de nouveau été déployé aux côtés des mineurs de Monero.
Les chercheurs d’Aqua Security soulignent la pratique consistant à renommer Hadooken les services malveillants en « – bash » ou « – java » , pour imiter les processus légitimes et se fondre dans les opérations normales.
Une fois ce processus terminé, les journaux système sont effacés pour masquer les signes d’activité malveillante, ce qui rend la découverte et l’analyse médico-légale plus difficiles.
L’analyse statique du binaire Hadooken a révélé des liens avec les familles de ransomwares RHOMBUS et NoEscape, bien qu’aucun module de ransomware n’ait été déployé dans les attaques observées.
Les chercheurs émettent l’hypothèse que l’accès au serveur peut être utilisé pour déployer un ransomware sous certaines conditions, par exemple après que les opérateurs ont effectué des vérifications manuelles. Il est également possible que la capacité soit introduite dans une prochaine version.
De plus, sur l’un des serveurs délivrant Hadouken (89.185.85 [.]102), les chercheurs ont découvert un script PowerShell qui téléchargeait le ransomware Mallox pour Windows.
Certains rapports indiquent que cette adresse IP est utilisée pour diffuser ce ransomware, nous pouvons donc supposer que les acteurs de la menace ciblent à la fois les points de terminaison Windows pour exécuter une attaque de ransomware, mais également les serveurs Linux pour cibler les logiciels souvent utilisés par les grandes organisations pour lancer des portes dérobées et des cryptomineurs – Aqua Security
Sur la base des conclusions des chercheurs utilisant le moteur de recherche Shodan pour les appareils connectés à Internet, il existe plus de 230 000 serveurs Weblogic sur le Web public.
Une liste complète des mesures de défense et des mesures d’atténuation est présente dans la dernière section du rapport d’Aqua Security.