Các nhà nghiên cứu an ninh mạng gần đây đã phát hiện một chiến dịch phần mềm độc hại mới, nhắm mục tiêu vào các môi trường Linux để tiến hành khai thác tiền mã hóa trái phép và phát tán phần mềm botnet độc hại.
Mục tiêu: Oracle WebLogic Server
Theo công ty bảo mật đám mây Aqua, hoạt động này tập trung chủ yếu vào Oracle WebLogic Server, sử dụng một loại phần mềm độc hại mới có tên là Hadooken. Khi Hadooken được thực thi, nó triển khai phần mềm độc hại Tsunami và cài đặt một trình khai thác tiền mã hóa, theo nhà nghiên cứu bảo mật Assaf Moran.
Chiến dịch tấn công này tận dụng các lỗ hổng bảo mật đã biết và cấu hình sai hệ thống, chẳng hạn như việc sử dụng thông tin đăng nhập yếu, để giành quyền kiểm soát ban đầu và thực thi mã độc trên các hệ thống dễ bị tấn công.
Quy trình tấn công
Các cuộc tấn công được thực hiện thông qua việc triển khai hai tải trọng (payload) gần như giống nhau. Một tải trọng được viết bằng Python và một bằng shell script, cả hai đều chịu trách nhiệm tải phần mềm độc hại Hadooken từ một máy chủ từ xa, với các địa chỉ IP là “89.185.85[.]102” và “185.174.136[.]204”.
Phiên bản shell script còn thực hiện việc quét qua các thư mục chứa dữ liệu SSH (như thông tin đăng nhập người dùng, thông tin máy chủ, và các bí mật khác) và sử dụng thông tin này để tấn công các máy chủ đã biết khác. Sau đó, nó lan rộng phần mềm độc hại Hadooken sang các hệ thống và môi trường kết nối khác trong tổ chức.
Hai thành phần chính của Hadooken:
- Khai thác tiền mã hóa: Hadooken bao gồm một trình khai thác tiền mã hóa để sử dụng tài nguyên hệ thống của nạn nhân cho mục đích khai thác bất hợp pháp.
- Botnet tấn công từ chối dịch vụ (DDoS): Hadooken cũng chứa một thành phần botnet DDoS được gọi là Tsunami (còn được biết đến với tên Kaiten), nổi tiếng với việc tấn công các dịch vụ Jenkins và WebLogic được triển khai trong các cụm Kubernetes.
Khả năng duy trì và tránh phát hiện
Hadooken còn có khả năng thiết lập sự hiện diện bền vững trên máy chủ bị nhiễm thông qua việc tạo các cron job, cho phép trình khai thác tiền mã hóa hoạt động định kỳ với tần suất thay đổi.
Để tránh bị phát hiện, Hadooken sử dụng nhiều phương pháp:
- Mã hóa Base64 cho các payload.
- Đặt tên các payload độc hại với tên giống các quy trình hợp pháp như “bash” và “java” nhằm qua mắt hệ thống giám sát.
- Xóa các dấu vết của hoạt động độc hại sau khi thực thi để che giấu hành vi.
Liên hệ với các địa chỉ IP và tổ chức liên quan
Địa chỉ IP 89.185.85[.]102 được đăng ký tại Đức, dưới tên công ty hosting Aeza International LTD (AS210644). Một báo cáo trước đó của Uptycs vào tháng 2 năm 2024 đã liên kết địa chỉ IP này với một chiến dịch khai thác tiền mã hóa của băng nhóm 8220, lợi dụng các lỗ hổng trong Apache Log4j và Atlassian Confluence Server.
Địa chỉ IP thứ hai, 185.174.136[.]204, hiện tại không hoạt động nhưng cũng liên kết với Aeza Group Ltd. (AS216246). Theo các báo cáo từ Qurium và EU DisinfoLab vào tháng 7 năm 2024, Aeza là một dịch vụ bulletproof hosting (dịch vụ lưu trữ khó bị xóa bỏ) có mặt tại Moscow M9 và trong hai trung tâm dữ liệu tại Frankfurt.
Aeza được cho là phát triển nhanh chóng nhờ vào việc tuyển dụng các nhà phát triển trẻ liên quan đến các dịch vụ bulletproof hosting ở Nga, nơi cung cấp sự bảo vệ cho các hoạt động tội phạm mạng. Điều này đã giúp Aeza trở thành một tổ chức mạnh mẽ trong lĩnh vực này, thu hút sự chú ý của các nhà nghiên cứu bảo mật toàn cầu.
Kết luận
Chiến dịch tấn công phần mềm độc hại Hadooken là một minh chứng rõ ràng về sự tinh vi và phức tạp của các cuộc tấn công vào hệ thống Linux, đặc biệt là các máy chủ Oracle WebLogic. Các tổ chức sử dụng Linux và WebLogic cần đặc biệt cảnh giác với các dấu hiệu bất thường trong hệ thống của họ, áp dụng các bản vá bảo mật và thực hiện các biện pháp phòng ngừa, chẳng hạn như bảo mật SSH và theo dõi nhật ký hệ thống để phát hiện sớm các hoạt động đáng ngờ.
Đồng thời, việc nhận thức rõ hơn về các dịch vụ bulletproof hosting như Aeza, và cách chúng hỗ trợ các chiến dịch tội phạm mạng, là điều cần thiết để bảo vệ không chỉ hệ thống mà còn cả mạng lưới toàn cầu khỏi các mối đe dọa mạng ngày càng tinh vi.
Comments 1