แคมเปญมัลแวร์ใหม่บน Linux ใช้ช่องโหว่ของ Oracle Weblogic เพื่อขุดเหรียญคริปโต

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญมัลแวร์ใหม่ที่มุ่งเป้าการโจมตีไปยังระบบปฏิบัติการ Linux เพื่อใช้ทำการขุดเหรียญคริปโต และแพร่กระจาย botnet

บริษัทรักษาความปลอดภัยบนคลาวด์ที่ชื่อ Aqua ระบุว่า การกระทำดังกล่าวจะมุ่งเป้าการโจมตีไปที่เซิร์ฟเวอร์ Oracle Weblogic โดยเฉพาะ ซึ่งการโจมตีถูกออกแบบมาเพื่อส่งมัลแวร์ชนิดหนึ่งที่เรียกว่า Hadooken

Assaf Morag นักวิจัยด้านความปลอดภัยระบุว่า "เมื่อ Hadooken ถูกเรียกใช้งาน มันจะปล่อยมัลแวร์ Tsunami และติดตั้งโปรแกรมขุดเหรียญคริปโต"

การโจมตีดังกล่าวจะใช้ประโยชน์จากช่องโหว่ความปลอดภัยที่ถูกเปิดเผยออกสู่สาธารณะ และการตั้งค่าที่ไม่เหมาะสม เช่น การใช้รหัสผ่านที่คาดเดาได้ง่าย ทำให้ได้สิทธิ์การเข้าถึงบนระบบเบื้องต้น และสามารถเรียกใช้โค้ดที่เป็นอันตรายบนระบบที่มีช่องโหว่ได้

การโจมตีนี้สำเร็จได้โดยการส่ง payloads สองชุดที่แทบจะเหมือนกัน ชุดหนึ่งเขียนด้วยภาษา Python และอีกชุดเป็น Shell Script ซึ่งทั้งสองมีหน้าที่ในการดึงมัลแวร์ Hadooken จากเซิร์ฟเวอร์ภายนอก ("89.185.85[.]102" หรือ "185.174.136[.]204")

Morag ระบุว่า "นอกจากนี้ Shell script ยังพยายามวนซ้ำผ่านไดเรกทอรีต่าง ๆ ที่มีข้อมูล SSH (เช่น ข้อมูล credentials ของผู้ใช้, ข้อมูลโฮสต์ และ secrets) และใช้ข้อมูลนี้ทำการโจมตีเซิร์ฟเวอร์ที่เป็นเป้าหมาย"

"จากนั้นมันจะทำการโจมตีต่อไปยังระบบอื่น ๆ ขององค์กร หรืออุปกรณ์อื่นที่เชื่อมต่อกันในระบบเพื่อแพร่กระจายมัลแวร์ Hadooken ต่อไป"

Hadooken ประกอบด้วยสองส่วนคือ โปรแกรมขุดเหรียญคริปโต (cryptocurrency miner) และ botnet สำหรับการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่เรียกว่า Tsunami (หรือที่รู้จักในชื่อ Kaiten) ซึ่งเคยมีประวัติการโจมตีบริการของ Jenkins และ Weblogic ที่ถูกใช้งานใน Kubernetes clusters

นอกจากนี้ มัลแวร์ยังทำหน้าที่ในการแฝงตัวอยู่บนโฮสต์ โดยการสร้าง cron jobs เพื่อเรียกใช้โปรแกรมขุดเหรียญคริปโตเป็นระยะ ๆ ด้วยความถี่ที่แตกต่างกัน

ความสามารถในการหลบเลี่ยงการตรวจจับของ Hadooken ถูกดำเนินการผ่านการผสมผสานด้วยเทคนิคต่าง ๆ เช่น การใช้ payloads ที่เข้ารหัสด้วย Base64, การวาง payloads ของโปรแกรมขุดเหรียญคริปโตภายใต้ชื่อที่ดูไม่เป็นอันตรายอย่าง "bash" และ "java" เพื่อให้กลมกลืนกับกระบวนการทำงานที่ถูกต้องในระบบ และการลบหลักฐานต่าง ๆ หลังจากการดำเนินการเพื่อซ่อนการโจมตีที่เป็นอันตราย

Aqua ระบุว่าที่อยู่ IP 89.185.85[.]102 ถูกจดทะเบียนในประเทศเยอรมนีภายใต้บริษัทโฮสติ้ง Aeza International LTD (AS210644) โดยรายงานก่อนหน้านี้จาก Uptycs ในเดือนกุมภาพันธ์ 2024 ได้เชื่อมโยง IP นี้กับแคมเปญขุดเหรียญคริปโตของกลุ่ม 8220 ซึ่งใช้ช่องโหว่ใน Apache Log4j และ Atlassian Confluence Server and Data Center

สำหรับที่อยู่ IP ที่สอง 185.174.136[.]204 แม้ว่าปัจจุบันจะไม่มีการใช้งานแล้ว แต่ก็ยังมีความเชื่อมโยงกับ Aeza Group Ltd. (AS216246) อยู่เช่นกัน ตามที่ Qurium และ EU DisinfoLab ระบุในเดือนกรกฎาคม 2024 ว่า Aeza เป็นผู้ให้บริการ hosting ที่มีประสิทธิภาพ ซึ่งมีสำนักงานอยู่ใน Moscow M9 และศูนย์ข้อมูลสองแห่งในแฟรงก์เฟิร์ต

นักวิจัย ระบุว่า "รูปแบบการดำเนินงานของ Aeza และการเติบโตอย่างรวดเร็วของบริษัท สามารถอธิบายได้จากการรับสมัครนักพัฒนารุ่นใหม่ที่เกี่ยวข้องกับผู้ให้บริการ hosting ในรัสเซีย ซึ่งอาจเป็นที่หลบภัยให้แก่เหล่าแฮ็กเกอร์ก็เป็นไปได้"

ที่มา : thehackernews