Nueva campaña de malware para Linux está explotando servidores Oracle Weblogic para minar criptomonedas – Masterhacks Blog

Nueva campaña de malware para Linux está explotando servidores Oracle Weblogic para minar criptomonedas

Investigadores en ciberseguridad han identificado una nueva campaña de malware dirigida a entornos Linux con el objetivo de realizar minería de criptomonedas de manera ilegal y distribuir malware de botnets.

Esta actividad, que apunta específicamente al servidor Oracle Weblogic, está diseñada para desplegar una variante de malware llamada Hadooken, según la empresa de seguridad en la nube Aqua.

«Cuando Hadooken se ejecuta, instala el malware Tsunami y lanza un criptominero», explicó el investigador de seguridad Assaf Moran.

Las secuencias de ataque aprovechan vulnerabilidades de seguridad conocidas y configuraciones incorrectas, como contraseñas débiles, para obtener acceso inicial y ejecutar código arbitrario en sistemas vulnerables.

Esto se lleva a cabo mediante el despliegue de dos cargas maliciosas casi idénticas, una escrita en Python y la otra en un script de shell, ambas responsables de descargar el malware Hadooken desde un servidor remoto («89.185.85[.]102» o «185.174.136[.]204«).

«Además, la versión en shell script intenta recorrer diferentes directorios que contienen datos SSH (como credenciales de usuarios, información del host y claves secretas), y utiliza esa información para atacar servidores conocidos», señaló Morag.

«Después, se propaga lateralmente a través de la organización o en los entornos conectados para continuar diseminando el malware Hadooken.»

Hadooken incluye dos componentes principales: un minero de criptomonedas y una botnet de denegación de servicio distribuido (DDoS) conocida como Tsunami (también llamada Kaiten), que previamente ha atacado servicios de Jenkins y Weblogic instalados en clústeres de Kubernetes.

Además, el malware garantiza su persistencia en el sistema al crear trabajos cron que ejecutan el criptominero de manera periódica con diferentes frecuencias.

Aqua señaló que la dirección IP 89.185.85[.]102 está registrada en Alemania bajo la empresa de alojamiento Aeza International LTD (AS210644). Un informe anterior de Uptycs de febrero de 2024 la vincula a una campaña de criptomonedas del grupo 8220 que explotaba fallos en Apache Log4j y Atlassian Confluence Server y Data Center.

La segunda dirección IP, 185.174.136[.]204, actualmente inactiva, también está relacionada con Aeza Group Ltd. (AS216246). Según informes de Qurium y EU DisinfoLab de julio de 2024, Aeza es un proveedor de alojamiento a prueba de fallos con presencia en Moscú M9 y dos centros de datos en Frankfurt.

«El modelo operativo de Aeza y su rápido crecimiento pueden explicarse por la contratación de jóvenes desarrolladores vinculados a proveedores de alojamiento a prueba de fallos en Rusia, que ofrecen refugio a actividades cibercriminales», indicaron los investigadores en su informe.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *