黑(hēi)客瞄準 Oracle WebLogic 服務器(qì)，用(yòng)一(yī)種名為(wèi)“H‍adooken”的(de)新 Linux 惡意軟件(jiàn)感染它們，該惡意軟件(jiàn)會(huì)啓動一(yī)個(gè)加密礦工(gōng)和(hé)一(yī)個(gè)分(fēn)布式​拒絕服務 (DDoS) 攻擊工(gōng)具。

獲得(de)的(de)訪問(wèn)權限還(hái)可(kě)能(néng)用(yòng)于對(duì)₩ Windows 系統執行(xíng)勒索軟件(jiàn)攻擊。容器(qì)安全解決方案公司 Aqua Security 的(de)研究人(rén)員(yuán)∑在蜜罐上(shàng)觀察到(dào)了(le)這(zhè)種攻擊，威脅者由于憑證薄弱而攻破了(le)蜜罐。

Oracle WebLogic Server 是(shì)一(yī)款企業(yè)級 Java EE 應用(yòng)服務<器(qì)，用(yòng)于構建、部署和(hé)管理(lǐ)大(dà)規模分(fēn)布式應用(yòng)程序↓。該産品常用(yòng)于銀(yín)行(xíng)和(hé)金(jīn)融服務、電(diàn)子(zǐ)商務、電(diàn)信、政府組織和(hé)公共服務。

攻擊者之所以将 WebLogic 視(shì)為(wèi)目标，是(shì)因為(wèi)它在業(yè)務關鍵型環境中非常受歡迎，這(zhè)些(xiē)α環境通(tōng)常擁有(yǒu)豐富的(de)處理(lǐ)資源，是(shì)加密貨币挖礦和(hé) DDoS‍ 攻擊的(de)理(lǐ)想選擇。

Hadooken 猛烈攻擊

一(yī)旦攻擊者破壞環境并獲得(de)足夠的(de)權限，他(tā)們就(jiù)會(huì)下(xià)載名為(wèi)“c”的(de) shell 腳本和(hé)名為(wèi)“y”的(de£) Python 腳本。

研究人(rén)員(yuán)表示，這(zhè)兩個(gè)腳本都(dōu)會(huì)釋放(fàng) Hadooken，但(dàn) shell 代碼還(háiΩ)會(huì)嘗試在各個(gè)目錄中查找 SSH 數(shù)據，并利用(yòng)這(zhè)些€(xiē)信息攻擊已知(zhī)服務器(qì)。此外(wài)，“c”還(hái)會(huì)在網絡上(shàng)橫向移動以分(fēn)發 Hadooken。

在已知(zhī)主機(jī)上(shàng)搜索 SSH 密鑰

反過來(lái)，Hadooken 會(huì)投放(fàng)并執行(xíng)加密貨币挖礦程序和(hé) Tsunami 惡意軟件(jiàn)，然後設置多(duō)個(gè) cron 作(z‍uò)業(yè)，這(zhè)些(xiē)作(zuò)業(yè)的(de)名稱和(hé)有(yǒu)效負載執行(xíng)頻(pín)率都(dōu)是(shì)随機(jī)的(de)。

Tsunami 是(shì)一(yī)種 Linux DDoS 僵屍網絡惡意軟件(jiàn)，它通(tōng)過對(duì)弱密碼進行(x​íng)暴力攻擊來(lái)感染易受攻擊的(de) SSH 服務器(qì)。

攻擊者之前曾使用(yòng) Tsunami 對(duì)受感染的(de)服務器(qì)發起 DDoS 攻擊和(hé)遠(yuǎn )程控制(zhì)，而它再次被發現(xiàn)與 Monero 礦工(gōng)一(yī)起部署。

Aqua Security 研究人(rén)員(yuán)強調，Hadooken 将惡意服務重命名為(wèi)“-bash”或“-j©ava”，以模仿合法進程并與正常操作(zuò)混合。

完成此過程後，系統日(rì)志(zhì)将被清除以隐藏惡意活動的(de)迹象，從(cóng)而使發現(xiàn)和(hé)取證分(fēn)析變得(deγ)更加困難。

對(duì) Hadooken 二進制(zhì)文(wén)件(jiàn)的(de)靜(jìng)态分(fēn)析揭示了(le)與 RHOMBUS 和(hé) NoEscape 勒索軟"件(jiàn)家(jiā)族的(de)聯系，但(dàn)在觀察到(dào)的(de)攻擊中沒有(yǒu)部署勒索軟件(jiàn)模塊。

研究人(rén)員(yuán)推測，在某些(xiē)條件(jiàn)下(xià)，例如(rú)在操作(zuò)員(yuán)進σ行(xíng)手動檢查後，服務器(qì)訪問(wèn)權限可(kě)能(néng)會(huì)被用(yòng)來(lái)部署勒索軟件(±jiàn)。未來(lái)版本也(yě)有(yǒu)可(kě)能(néng)引入此功能(néng)。

Hadooken 攻擊概述

此外(wài)，在提供 Hadooken (89.185.85[.]102) 的(de)其中一(yī)台服務器(qì)上(shàng)，研究人(rén§)員(yuán)發現(xiàn)了(le)一(yī)個(gè) PowerShell 腳本，該腳本下(xià)載了(le)适用(yòng)于 Windows 的(de) Mallox 勒索軟φ件(jiàn)。

有(yǒu)報(bào)道(dào)稱，該 IP 地(dì)址用(yòng)于傳播勒索軟件(jiàn)，因<此我們可(kě)以假設威脅者不(bù)僅針對(duì) Windows 端點執行(xíng)勒索軟件(ji✘àn)攻擊，還(hái)針對(duì) Linux 服務器(qì)，以攻擊大(dà)型組織經常使用(yòng)的(de)軟件(jiàn)來(lái∏)啓動後門(mén)和(hé)加密礦工(gōng) - Aqua Security

根據研究人(rén)員(yuán)使用(yòng) Shodan 搜索引擎對(duì)聯網設備進行(xβíng)搜索的(de)結果顯示，公共網絡上(shàng)已有(yǒu)超過 230,000 台 Weblogic 服務器(qì)。