13 de septiembre de 2024Ravie LakshmananSeguridad empresarial / Vulnerabilidad Los investigadores de ciberseguridad han descubierto una nueva campaña de malware dirigida a entornos Linux para realizar minería ilícita de criptomonedas. La actividad, que apunta específicamente al servidor Oracle Weblogic, está diseñada para distribuir malware denominado Hadooken, según la empresa de seguridad en la nube Aqua. «Cuando se ejecuta Hadooken, se lanza un malware Tsunami y se despliega un minero de criptomonedas», dijo el investigador de seguridad Assaf Moran. Las cadenas de ataque explotan vulnerabilidades de seguridad conocidas y configuraciones erróneas, como credenciales débiles, para obtener un punto de apoyo inicial y ejecutar código arbitrario en instancias susceptibles. Esto se logra lanzando dos cargas útiles casi idénticas, una escrita en Python y la otra, un script de shell, ambas responsables de recuperar el malware Hadooken de un servidor remoto («89.185.85[.]102» o «185.174.136[.]204»). «Además, la versión del script de shell intenta iterar sobre varios directorios que contienen datos SSH (como credenciales de usuario, información del host y secretos) y usa esta información para atacar servidores conocidos», dijo Morag. «Luego se mueve lateralmente a través de la organización o entornos conectados para propagar aún más el malware Hadooken». Hadooken viene integrado con dos componentes, un minero de criptomonedas y una botnet de denegación de servicio distribuida (DDoS) llamada Tsunami (también conocida como Kaiten), que tiene un historial de apuntar a servicios Jenkins y Weblogic implementados en clústeres de Kubernetes. Además, el malware es responsable de establecer persistencia en el host mediante la creación de trabajos cron para ejecutar el minero de criptomonedas periódicamente a frecuencias variables. Aqua señaló que la dirección IP 89.185.85[.]102 está registrado en Alemania bajo la empresa de alojamiento Aeza International LTD (AS210644), con un informe previo de Uptycs en febrero de 2024 que lo vincula a una campaña de criptomonedas de 8220 Gang al abusar de fallas en Apache Log4j y Atlassian Confluence Server and Data Center. La segunda dirección IP 185.174.136[.]204, aunque actualmente inactivo, también está vinculado a Aeza Group Ltd. (AS216246). Como destacaron Qurium y EU DisinfoLab en julio de 2024, Aeza es un proveedor de servicios de alojamiento a prueba de balas con presencia en Moscú M9 y en dos centros de datos en Frankfurt. «El modus operandi de Aeza y su rápido crecimiento se pueden explicar por el reclutamiento de jóvenes desarrolladores afiliados a proveedores de alojamiento a prueba de balas en Rusia que ofrecen refugio al cibercrimen», dijeron los investigadores en el informe. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.