Investigadores de ciberseguridad han descubierto una nueva campa\u00f1a de malware dirigida a entornos Linux para realizar miner\u00eda il\u00edcita de criptomonedas.<\/p>\n
La actividad, que ataca espec\u00edficamente al servidor Oracle Weblogic, est\u00e1 dise\u00f1ada para distribuir malware denominado Hadoken<\/strong>seg\u00fan la empresa de seguridad en la nube Aqua.<\/p>\n “Cuando se ejecuta Hadooken, se libera un malware Tsunami y se despliega un minero de criptomonedas”, dijo el investigador de seguridad Assaf Moran. dicho<\/a>.<\/p>\n Las cadenas de ataque explotan vulnerabilidades de seguridad conocidas y configuraciones err\u00f3neas, como credenciales d\u00e9biles, para obtener un punto de apoyo inicial y ejecutar c\u00f3digo arbitrario en instancias susceptibles.<\/p>\n Esto se logra lanzando dos cargas \u00fatiles casi id\u00e9nticas, una escrita en Python y la otra, un script de shell, ambas responsables de recuperar el malware Hadooken de un servidor remoto (“89.185.85[.]102<\/a>” o “185.174.136[.]204<\/a>“).<\/p>\n “Adem\u00e1s, la versi\u00f3n del script de shell intenta iterar sobre varios directorios que contienen datos SSH (como credenciales de usuario, informaci\u00f3n del host y secretos) y utiliza esta informaci\u00f3n para atacar servidores conocidos”, dijo Morag.<\/p>\n “Luego se mueve lateralmente a trav\u00e9s de la organizaci\u00f3n o entornos conectados para propagar a\u00fan m\u00e1s el malware Hadooken”.<\/p>\n Hadooken viene integrado con dos componentes, un minero de criptomonedas y una botnet distribuida de denegaci\u00f3n de servicio (DDoS) llamada Tsunami (tambi\u00e9n conocida como Kaiten), que tiene un historia<\/a> de apuntar a servicios Jenkins y Weblogic implementados en cl\u00fasteres de Kubernetes.<\/p>\n Adem\u00e1s, el malware es responsable de establecer la persistencia en el host mediante la creaci\u00f3n de trabajos cron<\/a> ejecutar el minero de criptomonedas peri\u00f3dicamente a frecuencias variables.<\/p>\n Aqua not\u00f3 que la direcci\u00f3n IP es 89.185.85[.]102 est\u00e1 registrada en Alemania bajo la empresa de alojamiento Aeza International LTD (AS210644), con un informe anterior<\/a> de Uptycs en febrero de 2024 vincul\u00e1ndolo a una campa\u00f1a de criptomonedas de 8220 Gang al abusar de fallas en Apache Log4j y Atlassian Confluence Server y Data Center.<\/p>\n La segunda direcci\u00f3n IP 185.174.136[.]204, aunque actualmente no est\u00e1 activo, tambi\u00e9n est\u00e1 vinculado a Aeza Group Ltd. (AS216246). Como destacaron Qurium y EU DisinfoLab en julio de 2024, Aeza es un proveedor de servicios de alojamiento a prueba de balas con presencia en Mosc\u00fa M9 y en dos centros de datos en Frankfurt.<\/p>\n “El modus operandi de Aeza y su r\u00e1pido crecimiento se pueden explicar por el reclutamiento de j\u00f3venes desarrolladores afiliados a proveedores de hosting a prueba de balas en Rusia que ofrecen refugio al cibercrimen”, dijeron los investigadores en el informe.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Nueva-campana-de-malware-para-Linux-explota-Oracle-Weblogic-para.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n