Linux malware συμμορία εκμεταλλεύεται το Oracle Weblogic για εξόρυξη κρυπτονομισμάτων
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Linux malware συμμορία εκμεταλλεύεται το Oracle Weblogic για εξόρυξη κρυπτονομισμάτων
https://www.secnews.gr/618752/linux-malware-symmoria-ekmetallevetai-to-oracle-weblogic-gia-eksoryksh-kryptonomismatwn/
Sep 13th 2024, 13:22
Μια νέα malware συμμορία στοχεύει σε περιβάλλοντα Linux με σκοπό την παράνομη εξόρυξη κρυπτονομισμάτων, εστιάζοντας κυρίως στον Oracle Weblogic server.
Αυτή η κακόβουλη συμμορία έχει σχεδιαστεί για την διανομή κακόβουλου λογισμικού που ονομάζεται Hadooken, σύμφωνα με την εταιρεία ασφάλειας cloud Aqua.
Διαβάστε επίσης: Το PAM του Linux καταχράται για τη δημιουργία backdoors
"Όταν εκτελείται το Hadooken, απελευθερώνει ένα Tsunami malware και ενεργοποιεί έναν miner κρυπτονομισμάτων," ανέφερε ο ερευνητής ασφαλείας Assaf Moran. Οι αλυσίδες επιθέσεων εκμεταλλεύονται γνωστά τρωτά σημεία και εσφαλμένες ρυθμίσεις, όπως αδύναμα credentials, για να αποκτήσουν πρόσβαση και να εκτελέσουν αυθαίρετο κώδικα.
Αυτό επιτυγχάνεται μέσω της εκκίνησης δύο σχεδόν πανομοιότυπων ωφέλιμων φορτίων (payloads): το ένα είναι γραμμένο σε Python και το άλλο είναι ένα shell script. Και τα δύο είναι υπεύθυνα για την ανάκτηση του κακόβουλου λογισμικού Hadooken από έναν απομακρυσμένο διακομιστή ("89.185.85[.]102" ή "185.174.136[.]204").
"Επιπλέον, η έκδοση του shell script προσπαθεί να σαρώσει διάφορους καταλόγους που περιέχουν δεδομένα SSH, όπως διαπιστευτήρια χρήστη, πληροφορίες κεντρικού υπολογιστή και μυστικά, και χρησιμοποιεί αυτές τις πληροφορίες για να επιτεθεί σε γνωστούς servers," δήλωσε ο Moran.
Δείτε περισσότερα: sedexp: Ένα Linux malware που έμεινε κρυφό για δύο χρόνια
Το κακόβουλο λογισμικό (malware) Hadooken κινείται πλευρικά στον οργανισμό ή σε συνδεδεμένα περιβάλλοντα με σκοπό να επεκταθεί. Περιλαμβάνει δύο βασικά στοιχεία: έναν miner κρυπτονομισμάτων και ένα botnet άρνησης υπηρεσίας (DDoS), γνωστό ως Tsunami ή Kaiten, που έχει στοχοποιήσει υπηρεσίες όπως οι Jenkins και Weblogic σε περιβάλλοντα Kubernetes.
Επιπλέον, το Hadooken malware δημιουργεί επιμονή στον κεντρικό υπολογιστή, ρυθμίζοντας θέσεις εργασίας cron για να εκτελεί το crypto miner περιοδικά σε διαφορετικές συχνότητες. Η Aqua ανέφερε ότι η διεύθυνση IP 89.185.85[.]102 είναι καταχωρημένη στη Γερμανία από την εταιρεία Aeza International LTD (AS210644). Μια προηγούμενη αναφορά από την Uptycs το Φεβρουάριο του 2024 συνδέει αυτή τη διεύθυνση με μια εκστρατεία κρυπτονομισμάτων του 8220 Gang, η οποία εκμεταλλεύεται ελαττώματα στον Apache Log4j και στον Atlassian Confluence Server και Data Center.
Η δεύτερη διεύθυνση IP 185.174.136[.]204, αν και αυτή τη στιγμή είναι ανενεργή, συνδέεται επίσης με την Aeza Group Ltd. (AS216246). Όπως επισημάνθηκε από το Qurium και το EU DisinfoLab τον Ιούλιο του 2024, η Aeza είναι πάροχος υπηρεσιών φιλοξενίας που διαθέτει αλεξίσφαιρη υποδομή και έχει παρουσία στο Moscow M9, καθώς και σε δύο κέντρα δεδομένων στη Φρανκφούρτη.
Διαβάστε ακόμη: Η ευπάθεια SLUBStick Linux επιτρέπει στους hackers να αποκτήσουν πλήρη έλεγχο του συστήματος
«Η λειτουργία του Aeza και η ταχεία ανάπτυξή του μπορούν να αποδοθούν στην πρόσληψη νέων προγραμματιστών που συνεργάζονται με αλεξίσφαιρους παρόχους φιλοξενίας στη Ρωσία, οι οποίοι προσφέρουν καταφύγιο στο κυβερνοέγκλημα», αναφέρουν οι ερευνητές στην έκθεσή τους.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Linux malware συμμορία εκμεταλλεύεται το Oracle Weblogic για εξόρυξη κρυπτονομισμάτων
https://www.secnews.gr/618752/linux-malware-symmoria-ekmetallevetai-to-oracle-weblogic-gia-eksoryksh-kryptonomismatwn/
Sep 13th 2024, 13:22
Μια νέα malware συμμορία στοχεύει σε περιβάλλοντα Linux με σκοπό την παράνομη εξόρυξη κρυπτονομισμάτων, εστιάζοντας κυρίως στον Oracle Weblogic server.
Αυτή η κακόβουλη συμμορία έχει σχεδιαστεί για την διανομή κακόβουλου λογισμικού που ονομάζεται Hadooken, σύμφωνα με την εταιρεία ασφάλειας cloud Aqua.
Διαβάστε επίσης: Το PAM του Linux καταχράται για τη δημιουργία backdoors
"Όταν εκτελείται το Hadooken, απελευθερώνει ένα Tsunami malware και ενεργοποιεί έναν miner κρυπτονομισμάτων," ανέφερε ο ερευνητής ασφαλείας Assaf Moran. Οι αλυσίδες επιθέσεων εκμεταλλεύονται γνωστά τρωτά σημεία και εσφαλμένες ρυθμίσεις, όπως αδύναμα credentials, για να αποκτήσουν πρόσβαση και να εκτελέσουν αυθαίρετο κώδικα.
Αυτό επιτυγχάνεται μέσω της εκκίνησης δύο σχεδόν πανομοιότυπων ωφέλιμων φορτίων (payloads): το ένα είναι γραμμένο σε Python και το άλλο είναι ένα shell script. Και τα δύο είναι υπεύθυνα για την ανάκτηση του κακόβουλου λογισμικού Hadooken από έναν απομακρυσμένο διακομιστή ("89.185.85[.]102" ή "185.174.136[.]204").
"Επιπλέον, η έκδοση του shell script προσπαθεί να σαρώσει διάφορους καταλόγους που περιέχουν δεδομένα SSH, όπως διαπιστευτήρια χρήστη, πληροφορίες κεντρικού υπολογιστή και μυστικά, και χρησιμοποιεί αυτές τις πληροφορίες για να επιτεθεί σε γνωστούς servers," δήλωσε ο Moran.
Δείτε περισσότερα: sedexp: Ένα Linux malware που έμεινε κρυφό για δύο χρόνια
Το κακόβουλο λογισμικό (malware) Hadooken κινείται πλευρικά στον οργανισμό ή σε συνδεδεμένα περιβάλλοντα με σκοπό να επεκταθεί. Περιλαμβάνει δύο βασικά στοιχεία: έναν miner κρυπτονομισμάτων και ένα botnet άρνησης υπηρεσίας (DDoS), γνωστό ως Tsunami ή Kaiten, που έχει στοχοποιήσει υπηρεσίες όπως οι Jenkins και Weblogic σε περιβάλλοντα Kubernetes.
Επιπλέον, το Hadooken malware δημιουργεί επιμονή στον κεντρικό υπολογιστή, ρυθμίζοντας θέσεις εργασίας cron για να εκτελεί το crypto miner περιοδικά σε διαφορετικές συχνότητες. Η Aqua ανέφερε ότι η διεύθυνση IP 89.185.85[.]102 είναι καταχωρημένη στη Γερμανία από την εταιρεία Aeza International LTD (AS210644). Μια προηγούμενη αναφορά από την Uptycs το Φεβρουάριο του 2024 συνδέει αυτή τη διεύθυνση με μια εκστρατεία κρυπτονομισμάτων του 8220 Gang, η οποία εκμεταλλεύεται ελαττώματα στον Apache Log4j και στον Atlassian Confluence Server και Data Center.
Η δεύτερη διεύθυνση IP 185.174.136[.]204, αν και αυτή τη στιγμή είναι ανενεργή, συνδέεται επίσης με την Aeza Group Ltd. (AS216246). Όπως επισημάνθηκε από το Qurium και το EU DisinfoLab τον Ιούλιο του 2024, η Aeza είναι πάροχος υπηρεσιών φιλοξενίας που διαθέτει αλεξίσφαιρη υποδομή και έχει παρουσία στο Moscow M9, καθώς και σε δύο κέντρα δεδομένων στη Φρανκφούρτη.
Διαβάστε ακόμη: Η ευπάθεια SLUBStick Linux επιτρέπει στους hackers να αποκτήσουν πλήρη έλεγχο του συστήματος
«Η λειτουργία του Aeza και η ταχεία ανάπτυξή του μπορούν να αποδοθούν στην πρόσληψη νέων προγραμματιστών που συνεργάζονται με αλεξίσφαιρους παρόχους φιλοξενίας στη Ρωσία, οι οποίοι προσφέρουν καταφύγιο στο κυβερνοέγκλημα», αναφέρουν οι ερευνητές στην έκθεσή τους.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια