Разделы

Безопасность Интернет

Хакеры распространяют по серверам Oracle WebLogic криптомайнеры и DDoS-агенты

Эксперты компании Aqua Security перехватили вредонос Hadooken, который устанавливает на уже взломанные серверы Oracle WebLogic хакерские инструменты для проведения DDoS-атак и генерации криптовалют. К ним могут прилагаться и шифровальщики-вымогатели.

Двойной удар

Серверы Oracle WebLogic в очередной раз стали объектом серийных атак: злоумышленники пытаются установить на них вредонос под Linux под названием Hadooken.

Эта вредоносная программа сочетает функции криптомайнера и DDoS-агента. Как отмечает издание Bleeping Computer, доступ, полученный к серверам, может использоваться и для подгрузки в системы Windows шифровальщиков-вымогателей.

Эксперты компании Aqua Security перехватили Hadooken на своей honeypot-ловушке, системе, преднамеренно оставленной уязвимой для кибератак. Злоумышленники воспользовались слабыми реквизитами доступа и вломились в систему – это позволило изучить экспертам исследовать новое пополнение в ряду Linux-вредоносов.

Атаки Hadooken носят многоступенчатый характер

Oracle WebLogic Server – это сервер приложений Java EE для создания, внедрения и управления масштабных, распределенных решений, которым больше всего пользуются в банках, финансовом секторе, телекоммуникационной сфере, а также в области государственных и муниципальных услуг.

Как правило, WebLogic эксплуатирует масштабные системные ресурсы, что делает эти серверы идеальной мишенью для криптомайнинга и DDoS-атак.

Этапы ущерба

Атаки Hadooken носят многоступенчатый характер: после первоначальной компрометации злоумышленники стараются получить максимальные привилегии, после чего загружают в систему shell-скрипт под названием «с» и скрипт на Python под названием «y». Оба скрипта загружают основную вредоносную нагрузку – сам Hadooken, но shell-код пытается также разыскать SSH-данные в доступных каталогах и в дальнейшем использует эти сведения для атак на другие серверы. Помимо этого, «c» используется для скрытного передвижения по локальным сетям для дальнейшего распространения Hadooken.

Сам вредонос, в свою очередь, скачивает и запускает криптомайнер, а также DDoS-агент под Linux под названием Tsunami, превращая тем самым атакованный сервер в часть одноименного ботнета.

Исследователи отмечают, что авторы Hadooken присваивают наименованиям процессов, связанных с функционированием вредоноса, суффиксы -bash и -java, чтобы они выглядели легитимными.

После того, как Hadooken и все, что он приносит с собой, устанавливается в систему, со скомпрометированного сервера удаляются все логи, чтобы затруднить обнаружение вредоносов и последующий анализ.

Шифровальщики? Положить забыли

Статический анализ двоичного файла Hadooken выявил существование некоторых связей с шифровальщиками Rhombus и NoEscape, хотя в ходе исследуемой атаки сами шифровальщики не фигурировали.

Эксперты предполагают, что скомпрометированные серверы могут использоваться для последующей загрузки шифровальщиков, если для этого имеются определенные условия. Или же перехваченная версия просто не предусматривала такой функции.

В любом случае, на одном из серверов, с которых устанавливался Hadooken, исследователи обнаружили PowerShell-скрипт, который загружал шифровальщик Mallox, причем под Windows. По-видимому, злоумышленники планировали или планируют распространять Mallox внутри скомпрометированных сетей – по рабочим станциям под Windows.

Как отмечает Bleeping Computer, поисковик Shodan выводит 230 тыс. серверов Weblogic, доступных из открытой части Всемирной сети. Теоретически любой из них может стать объектом атаки, считают эксперты.

«Если судить по публикации Aqua Security, в зоне риска – серверы со слабой защитой, – говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – Оставляя серверы Oracle WebLogic в общем доступе, их операторы уже существенно повышают степень угрозы атак. А устранять последствия обычно сложнее, чем предотвращать их, особенно если шифровальщики начнут-таки фигурировать в контексте Hadooken».

Роман Георгиев