Bir tehdit aktörü, “Hadooken” kullanarak Oracle WebLogic Sunucularına kripto madenciliği ve dağıtılmış hizmet reddi (DDoS) kötü amaçlı yazılımı bırakıyor.
Aqua Nautilus’taki araştırmacılar, geçen ay kötü amaçlı yazılımı bal tuzaklarından birine çarptığında tespit ettiler. Daha sonraki analizleri, Hadooken’ın tehdit aktörünün Aqua’nın zayıf korumalı WebLogic bal tuzağının yönetim paneline kaba kuvvetle girmesiyle başlayan bir saldırı zincirindeki ana yük olduğunu gösterdi. Hadooken’ın yazarlarının kötü amaçlı yazılıma Street Fighter video oyunları serisindeki ikonik Surge Fist hareketinden esinlenerek isim verdiği anlaşılıyor.
Aqua sisteminin içine girdikten sonra saldırgan, neredeyse işlevsel olarak aynı iki betik kullanarak Hadooken’ı indirdi — bir Python betiği ve bir “c” kabuk betiği — biri muhtemelen diğerinin yedeği olarak hareket ediyordu. Aqua, her iki betiğin de tehlikeye atılmış honeypot’ta Hadooken’ı çalıştırmak ve ardından dosyayı silmek için tasarlandığını buldu.
Aqua’nın baş araştırmacısı, “Ek olarak, kabuk betiği sürümü SSH verilerini (kullanıcı kimlik bilgileri, ana bilgisayar bilgileri ve sırlar gibi) içeren çeşitli dizinler üzerinde yineleme yapmaya çalışır ve bu bilgileri bilinen sunuculara saldırmak için kullanır” dedi. Assaf Morag bir raporda şöyle dedi:“Daha sonra Hadooken kötü amaçlı yazılımını daha fazla yaymak için kuruluş veya bağlı ortamlar arasında yatay olarak hareket eder.”
Değerli Bir Hedef
Oracle’ın WebLogic Server’ı müşterilerin Java uygulamaları oluşturmasına ve dağıtmasına olanak tanır. Dünyanın en büyük bankacılık ve finansal hizmetler şirketleri, profesyonel hizmet firmaları, sağlık kuruluşları ve üretim şirketleri de dahil olmak üzere binlerce kuruluş WebLogic’i dağıttı. Bu dağıtımlar, Java kurumsal uygulama ortamlarını modernize etmeyi, bulutta Java uygulamaları dağıtmayı ve Java mikro hizmetleri oluşturmayı içerir. WebLogic Server’ın tamamen ele geçirilmesini sağlayanlar da dahil olmak üzere kritik güvenlik açıkları, teknolojiyi yıllar içinde saldırılar için sık sık hedef haline getirdi. Zayıf parolalar ve İnternet’e açık yönetici konsolları gibi yapılandırma hataları, platform etrafındaki riskleri daha da kötüleştirdi.
Aqua’nın bal tuzağı saldırısında, tehdit aktörü güvenlik sağlayıcısının kasıtlı olarak zayıf parolasını kaba kuvvetle aşarak WebLogic sunucusuna ilk erişimi elde etti. Hadooken daha sonra iki yürütülebilir dosya düşürdü: En az on yıl öncesine dayanan çok sayıda DDoS saldırısında kullanılan bir kötü amaçlı yazılım olan Tsunami; ve bir kripto madencisi. Ayrıca Aqua, kötü amaçlı yazılımın tehlikeye atılan sistemde kalıcılığı sürdürmek için komutları veya betikleri belirli aralıklarla veya zamanlarda otomatik olarak çalışacak şekilde zamanlayan birden fazla cron işi oluşturduğunu buldu.
Daha Fazla Sorun Potansiyeli
Aqua’nın analizi, saldırganın saldırıda Tsunami’yi gerçekten kullandığına dair hiçbir işaret göstermedi, ancak güvenlik satıcısı bunun daha sonraki bir aşamada gerçekleşme olasılığını dışlamadı. Morag, Dark Reading’e saldırganın Hadooken’ı diğer Linux platformlarını hedef alacak şekilde nispeten kolay bir şekilde ayarlayabilmesi olasılığı da eşit derecede olasıdır diyor. Morag, “Şu anda saldırganların WebLogic Sunucularına kaba kuvvetle ulaştıklarına dair işaretler gördük,” diyor. “Ancak diğer saldırılara ve kampanyalara dayanarak, saldırganların kendilerini WebLogic ile sınırlamayacaklarını varsayıyoruz.”
Ayrıca saldırganların gelecekteki Hadooken kampanyalarında kendilerini kripto para birimi ve DDoS kötü amaçlı yazılımlarıyla sınırlamayacakları da muhtemel. Aqua’nın kötü amaçlı yazılıma ilişkin statik analizi, kodda Rhombus ve NoEscape fidye yazılımlarına bağlantılar gösterdi, ancak bal tuzağına yapılan saldırı sırasında kodun gerçek bir kullanımı yoktu. Aqua, tehdit aktörünün, biri Almanya’da diğeri Rusya’da olmak üzere iki IP adresi kullanarak Hadooken’ı tehlikeye atılmış sistemlere indirdiğini buldu. Alman IP adresi, diğer iki tehdit grubunun — TakımTNT Ve Çete 8220 Aqua, bunların daha önceki kampanyalarda da kullanıldığını ancak bunların Hadooken kampanyasıyla bağlantılı olduğuna dair hiçbir işaret bulunmadığını söyledi.
Şirket, kuruluşların altyapı-kod tarama araçları gibi mekanizmaları kullanmayı düşünmelerini öneriyor. bulut güvenlik duruşu yönetim araçlarıHadooken gibi tehditleri azaltmak için Kubernetes güvenlik ve yapılandırma araçları, çalışma zamanı güvenlik araçları ve konteyner güvenlik araçları.