برامج ضارة تستغل WebLogic لتعدين العملات المشفرة
تم تصميم هذا النشاط، الذي يخصص خادم Oracle Weblogic على وجه التحديد، لتقديم سلالة من البرامج الضارة مدبلجة هادوكينوفقًا لشركة الأمن السحابي Aqua
تم تصميم هذا النشاط، الذي يخصص خادم Oracle Weblogic على وجه التحديد، لتقديم سلالة من البرامج الضارة مدبلجة هادوكينوفقًا لشركة الأمن السحابي Aqua
العملاتالمشفرة…اكتشف باحثو الأمن السيبراني حملة جديدة للبرامج الضارة تستهدف بيئات Linux لإجراء تعدين غير مشروع للعملات المشفرة وتقديم برامج الروبوتات الضارة.
تم تصميم هذا النشاط، الذي يخصص خادم Oracle Weblogic على وجه التحديد، لتقديم سلالة من البرامج الضارة مدبلجة هادوكينوفقًا لشركة الأمن السحابي Aqua.
“عندما يتم تنفيذ Hadooken، فإنه يسقط برنامج تسونامي الخبيث وينشر أداة تعدين العملات المشفرة،” الباحث الأمني أساف موران قال.
تستغل سلاسل الهجوم الثغرات الأمنية المعروفة والتكوينات الخاطئة، مثل بيانات الاعتماد الضعيفة، للحصول على موطئ قدم أولي وتنفيذ تعليمات برمجية عشوائية في الحالات الحساسة.
يتم تحقيق ذلك عن طريق إطلاق حمولتين متطابقتين تقريبًا، إحداهما مكتوبة بلغة Python والأخرى عبارة عن برنامج نصي shell، وكلاهما مسؤول عن استرداد برنامج Hadooken الضار من خادم بعيد (“89.185.85(.)102” أو “185.174.136(.)204“).
وقال موراج: “بالإضافة إلى ذلك، يحاول إصدار البرنامج النصي Shell التكرار عبر أدلة مختلفة تحتوي على بيانات SSH (مثل بيانات اعتماد المستخدم ومعلومات المضيف والأسرار) ويستخدم هذه المعلومات لمهاجمة الخوادم المعروفة”.
“ثم يتحرك أفقيًا عبر المؤسسة أو البيئات المتصلة لزيادة نشر برنامج Hadooken الضار.”
يأتي Hadooken مدمجًا مع مكونين، عامل تعدين العملة المشفرة وشبكة الروبوتات الموزعة لرفض الخدمة (DDoS) والتي تسمى Tsunami (المعروفة أيضًا باسم Kaiten)، والتي تحتوي على تاريخ لاستهداف خدمات Jenkins وWeblogic المنتشرة في مجموعات Kubernetes.
علاوة على ذلك، تكون البرامج الضارة مسؤولة عن تثبيت الثبات على المضيف من خلال إنشاء ملفات وظائف كرون لتشغيل عامل تعدين العملات المشفرة بشكل دوري بترددات مختلفة.
يتم تحقيق قدرات التهرب الدفاعي لدى Hadooken من خلال مجموعة من التكتيكات التي تتضمن استخدام حمولات مشفرة Base64، وإسقاط حمولات المُعدِّن تحت أسماء غير ضارة مثل “bash” و”java” لدمجها مع العمليات المشروعة، وحذف القطع الأثرية بعد التنفيذ للإخفاء. أي علامات على نشاط ضار.
وأشارت أكوا إلى أن عنوان IP 89.185.85(.)102 مسجل في ألمانيا تحت شركة الاستضافة Aeza International LTD (AS210644)، مع التقرير السابق من Uptycs في فبراير 2024 وربطها بحملة 8220 Gang للعملات المشفرة التي أساءت استخدام العيوب في Apache Log4j وAtlassian Confluence Server and Data Center.
عنوان IP الثاني 185.174.136(.)204، رغم أنه غير نشط حاليًا، مرتبط أيضًا بـ Aeza Group Ltd. (AS216246). كما أبرزت شركة Qurium وEU DisinfoLab في يوليو 2024، فإن Aeza هو مزود خدمة استضافة مضاد للرصاص وله وجود في موسكو M9 وفي مركزين للبيانات في فرانكفورت.
وقال الباحثون في التقرير: “يمكن تفسير طريقة عمل Aeza ونموها السريع من خلال توظيف مطورين شباب تابعين لمقدمي خدمات استضافة مضادة للرصاص في روسيا يوفرون المأوى للجرائم الإلكترونية”.