【安全资讯】‘Hadooken’ Linux恶意软件瞄准Oracle WebLogic服务器

概要：

近日，云安全公司Aqua的研究人员发现，一名未知攻击者正在利用弱密码入侵Oracle WebLogic服务器，并部署一种新兴的Linux恶意软件Hadooken。该恶意软件包含加密矿工和Tsunami僵尸网络，可能对企业关键系统构成严重威胁。

主要内容：

Aqua的威胁猎人团队在一个蜜罐WebLogic服务器中捕获了Hadooken恶意软件。攻击者首先利用弱密码获取访问权限，然后远程执行恶意代码。初始有效载荷运行一个名为“c”的shell脚本和一个名为“y”的Python脚本，试图下载Hadooken。Hadooken恶意软件包含一个加密矿工和Tsunami僵尸网络，后者是一个DDoS僵尸网络和后门，允许攻击者完全远程控制受感染的机器。

Aqua的分析师Assaf Morag表示，他们在过去几周内观察到数十次攻击，但尚不清楚这些攻击是否属于有组织的活动。WebLogic平台常用于金融服务提供商、电子商务操作和其他业务关键系统，因其包含多种漏洞，频繁成为攻击目标。Aqua的研究人员还发现，Hadooken恶意软件会创建多个cronjobs以维持持久性，并且可以窃取用户凭证和其他机密信息，帮助攻击者横向移动并攻击其他服务器。

Aqua追踪到Hadooken恶意软件的下载源头，发现其与两个IP地址有关，其中一个与一家英国的托管公司相关。尽管没有证据表明该公司参与了任何恶意软件活动，但Aqua指出，TeamTNT和Gang 8220曾使用过该IP地址。此外，Aqua的分析表明，Hadooken与RHOMBUS和NoEscape勒索软件有联系，表明威胁行为者可能同时针对Windows和Linux服务器，执行勒索软件攻击和部署后门及加密矿工。