【安全资讯】‘Hadooken’ Linux恶意软件瞄准Oracle WebLogic服务器
概要:
近日,云安全公司Aqua的研究人员发现,一名未知攻击者正在利用弱密码入侵Oracle WebLogic服务器,并部署一种新兴的Linux恶意软件Hadooken。该恶意软件包含加密矿工和Tsunami僵尸网络,可能对企业关键系统构成严重威胁。主要内容:
Aqua的威胁猎人团队在一个蜜罐WebLogic服务器中捕获了Hadooken恶意软件。攻击者首先利用弱密码获取访问权限,然后远程执行恶意代码。初始有效载荷运行一个名为“c”的shell脚本和一个名为“y”的Python脚本,试图下载Hadooken。Hadooken恶意软件包含一个加密矿工和Tsunami僵尸网络,后者是一个DDoS僵尸网络和后门,允许攻击者完全远程控制受感染的机器。Aqua的分析师Assaf Morag表示,他们在过去几周内观察到数十次攻击,但尚不清楚这些攻击是否属于有组织的活动。WebLogic平台常用于金融服务提供商、电子商务操作和其他业务关键系统,因其包含多种漏洞,频繁成为攻击目标。Aqua的研究人员还发现,Hadooken恶意软件会创建多个cronjobs以维持持久性,并且可以窃取用户凭证和其他机密信息,帮助攻击者横向移动并攻击其他服务器。
Aqua追踪到Hadooken恶意软件的下载源头,发现其与两个IP地址有关,其中一个与一家英国的托管公司相关。尽管没有证据表明该公司参与了任何恶意软件活动,但Aqua指出,TeamTNT和Gang 8220曾使用过该IP地址。此外,Aqua的分析表明,Hadooken与RHOMBUS和NoEscape勒索软件有联系,表明威胁行为者可能同时针对Windows和Linux服务器,执行勒索软件攻击和部署后门及加密矿工。
相关链接
https://go.theregister.com/feed/www.theregister.com/2024/09/13/hadooken_attacks_oracle_weblogic/
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享