今天看啥  ›  专栏  ›  嘶吼专业版

新的 Linux 恶意软件 Hadooken 针对 Oracle WebLogic 服务器

嘶吼专业版  · 公众号  · 互联网安全  · 2024-09-19 15:53

主要观点总结

文章介绍了黑客使用名为“Hadooken”的新Linux恶意软件感染Oracle WebLogic服务器的情况。该恶意软件用于启动加密矿工和分布式拒绝服务(DDoS)攻击工具,并可能用于对Windows系统执行勒索软件攻击。Aqua Security的研究人员在蜜罐上观察到了这种攻击。文章还描述了Hadooken的攻击过程,包括投放和执行加密货币挖矿程序和Tsunami恶意软件,以及清除系统日志以隐藏恶意活动迹象等行为。此外,研究人员还发现了与RHOMBUS和NoEscape勒索软件家族的联系,并推测在某些条件下可能会部署勒索软件模块。最后,文章提到了在提供Hadooken的其中一台服务器上发现的PowerShell脚本和公共网络上已有超过230,000台Weblogic服务器的情况。

关键观点总结

关键观点1: 黑客使用新Linux恶意软件“Hadooken”感染Oracle WebLogic服务器。

该恶意软件用于启动加密矿工和DDoS攻击工具,并可能用于执行勒索软件攻击。

关键观点2: Aqua Security研究人员在蜜罐上观察到了这种攻击。

研究人员发现,一旦攻击者获得足够的权限,就会下载并执行名为“c”的shell脚本和名为“y”的Python脚本,释放Hadooken。

关键观点3: Hadooken会投放并执行加密货币挖矿程序和Tsunami恶意软件。

攻击者利用系统日志清除恶意活动的迹象,使得发现和取证分析更加困难。

关键观点4: 研究发现Hadooken与RHOMBUS和NoEscape勒索软件家族有联系。

在某些条件下,例如在操作员进行手动检查后,服务器访问权限可能会被用于部署勒索软件。

关键观点5: 服务器上存在PowerShell脚本和大量Weblogic服务器暴露在网络上。

研究人员发现了一个PowerShell脚本,该脚本下载了适用于Windows的Mallox勒索软件。公共网络上已有超过230,000台Weblogic服务器,这增加了攻击大型组织的风险。


文章预览

黑客瞄准 Oracle WebLogic 服务器,用一种名为“Hadooken”的新 Linux 恶意软件感染它们,该恶意软件会启动一个加密矿工和一个分布式拒绝服务 (DDoS) 攻击工具。 获得的访问权限还可能用于对 Windows 系统执行勒索软件攻击。容器安全解决方案公司 Aqua Security 的研究人员在蜜罐上观察到了这种攻击,威胁者由于凭证薄弱而攻破了蜜罐。 Oracle WebLogic Server 是一款企业级 Java EE 应用服务器,用于构建、部署和管理大规模分布式应用程序。该产品常用于银行和金融服务、电子商务、电信、政府组织和公共服务。 攻击者之所以将 WebLogic 视为目标,是因为它在业务关键型环境中非常受欢迎,这些环境通常拥有丰富的处理资源,是加密货币挖矿和 DDoS 攻击的理想选择。 Hadooken 猛烈攻击 一旦攻击者破坏环境并获得足够的权限,他们就会下载名为“c”的 shell 脚本和名 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览