Hadooken zlonamjerna kampanja koja cilja WebLogic servere

AUTOR ·

Hadooken zlonamjerni softver, identifikovan od strane sigurnosnih istraživača kompanije Aqua Nautilus, je sofisticirana prijetnja koja predstavlja značajne rizike za organizacije zbog svoje svestrane prirode i širokih mogućnosti. Prvenstveno cilja na Linux okruženja, iskorištavajući SSH ključeve za bočno kretanje preko povezanih servera unutar organizacije, ali ni Windows sistemi nisu pošteđeni.

Hadooken

Hadooken zlonamjerna kampanja koja cilja WebLogic servere; Source: Bing Image Creator

HADOOKEN ZLONAMJERNI SOFTVER

Hadooken zlonamjerni softver je prijetnja na više platformi, koja cilja i Linux Oracle WebLogic servere koje obično koriste velike organizacije i Windows krajnje uređaje. Ova dvojnost ga izdvaja od mnogih drugih porodica zlonamjernog softvera koje se obično fokusiraju na jedan operativni sistem.

Motiv iza ovog napada izgleda dvostruk: postavljanje backdoor pristupa i zlonamjernog softvera koji omogućava kripto rudarenje, kao i alata za distribuirane napade uskraćivanja usluge (eng. distributed denial-of-service – DDoS) u slučaju Linux operativnog sistema, dok Windows operativne sisteme potencijalno cilja ransomware zlonamjernim softverom. Ovaj sofisticirani zlonamjerni softver  je povezan sa prethodnim aktivnostima pripisanim grupama kao što su TeamTNT i Gang 8220; međutim, trenutno nema dovoljno dokaza da se ovaj napad definitivno pripiše bilo kojoj grupi.

Sama nemogućnost pripisivanja porijekla Hadooken zlonamjernog softvera dodaje element misterije, što ga čini predmetom tekuće istrage i spekulacija unutar sajber bezbjednosne zajednice.

 

Funkcionisanje

Način rada Hadooken zlonamjernog softvera podrazumijeva dobijanje početnog pristupa preko slabih lozinki na WebLogic serverima. Kada kompromituje ciljani sistem, zlonamjerni akteri preuzimaju i izvršavaju dvije skripte: shell skriptu i Python skriptu. Ove skripte služe da obezbijede uspješno izvršavanje Hadooken zlonamjernog softvera tako što prvo preuzimaju zlonamjerni softver u privremeni direktorijum pre nego što ga izbrišu sa servera.

Jedna značajna karakteristika shell skripte je njena sposobnost da prolazi kroz direktorijume koji sadrže SSH podatke, kao što su korisnički akreditivi, informacije o hostu i drugi tajni podaci. Ove informacije se zatim koriste za napad na poznate servere unutar organizacije ili povezana okruženja, omogućavajući Hadooken zlonamjernom softveru da se dalje širi.

Nakon pokretanja u sistemu, Hadooken zlonamjerni softver ispušta Tsunami zlonamjerni softver (poznat i kao Kaiten) i rudar za kriptovalute. Glavni korisni teret je naziva Hadooken, za šta se vjeruje da je referenca na “surge fist” napad u seriji Street Fighter. Rudar kriptovalute ima za cilj da zloupotrebljava sistemske resurse za nezakonitu dobit, dok je Tsunami botnet istorijski gledano cilja Jenkins i Weblogic usluge raspoređene u Kubernetes klasterima.

Jedna od Hadooken tehnika izbjegavanja odbrane uključuje korištenje Base64 kôdiranih korisnih opterećenja (eng. payloads) i ispuštanje korisnog opterećenja rudara pod bezazlenim imenima poput “bash” ili “java”, mješajući se sa legitimnim procesima. Pored toga, zlonamjerni softver briše evidencije nakon izvršenja da bi sakrio sve znakove zlonamjerne aktivnosti. Da bi održao postojanost, Hadooken zlonamjerni softver kreira više cron poslova sa nasumičnim imenima i različitim frekvencijama za izvršavanje skripti u različitim cron direktorijumima. Ovo osigurava da čak i ako je jedan posao otkriven ili uklonjen, drugi će nastaviti da rade neotkriveni.

Analiza IP adresa 89.185.85[…] koja je povezana sa ovom kampanjom, sugeriše da pored Linux operativnog sistema, zlonamjerni akteri mogli da ciljaju i Windows operativne sisteme korištenjem ransomware napada, jer je istraživanje otkrilo PowerShell datoteku koja distribuira Mallox  ransomware na Windows sistemima.

Statičke analize Hadooken zlonamjernog softvera su pokazale veze sa RHOMBUS i NoEscape ransomware zlonamjernim softverom. Međutim, dinamička analiza nije pokazala nikakvu trenutnu aktivnu upotrebu. Moguće je da će zlonamjerni akteri u budućnosti uvesti ransomware komponentu zasnovanu na Linux operativnom sistemu u ovaj napad ili možda već postoji ako zlonamjerni softver čeka duži period da se izvrše provjere u izolovanom okruženju (eng. sandbox).

 

WebLogic serveri

Weblogic Server je server aplikacija Java EE na nivou preduzeća koji je razvila kompanija Oracle. Široko se koristi u bankarstvu, e-trgovini i sistemima od ključne važnosti za poslovanje zbog podrške za Java tehnologije, upravljanje transakcijama i skalabilnosti. Međutim, Weblogic serveri su često ciljani sajber napadima zbog ranjivosti kao što su greške u deserializaciji i nepravilne kontrole pristupa.

Vrijedi napomenuti da analize izvještaja sugerišu da postoji preko 230.000 Weblogic servera povezanih sa internetom, pri čemu je većina njih zaštićena. Međutim, tokom analize je pronađeno nekoliko stotina povezanih na internet, Weblogic serverskih konzola za administraciju, koje mogu biti izložene napadima iskorištavanja ranjivosti ili zbog nepravilne konfiguracije. Ove izložene konzole potencijalno mogu poslužiti kao ulazne tačke za zlonamjerni softver kao što je Hadooken ako nisu pravilno obezbijeđene.

 

Uticaj

Uticaj ove kampanje Hadooken zlonamjernog softvera je dalekosežan, jer ne samo da cilja na nezakonito rudarenje kriptovaluta, već predstavlja i značajan rizik uspostavljanjem postojanosti na uređaju kroz kreiranje cron poslova za periodično pokretanje kripto rudara u različitim vremenskim intervalima i širenje ransomware zlonamjernog softvera. Otkriće preko 230.000 Weblogic servera povezanih na internet naglašava potencijalne razmjere ove prijetnje, pri čemu je većina zaštićena, osim nekoliko stotina administrativnih konzola Weblogic servera koje mogu biti izložene napadima koji iskorištavaju ranjivosti i pogrešne konfiguracije.

 

ZAKLJUČAK

Hadooken zlonamjerni softver predstavlja evoluirajuću i zagonetnu prijetnju koja zahteva pažnju profesionalaca u sajber bezbjednosti širom sveta. Njegova sposobnost da cilja više platformi, potencijalna povezanost sa postojećim zlonamjernim grupama prijetnji i njegova neuhvatljiva priroda čine ga strašnim protivnikom u današnjem digitalnom pejzažu.

Sposobnost ovog zlonamjernog softvera da ubaci i izvrši kripto rudara dok postavlja više cron poslova sa nasumično odabranim imenima, pokrene Tsunami zlonamjerni softver za pokretanje distribuiranih napada uskraćivanja usluge (DDoS) predstavlja značajnu prijetnju organizacijama koje koriste Oracle WebLogic servere.

Veze između Hadooken zlonamjernog softvera i RHOMBUS i NoEscape ransomware zlonamjernog softvera, iako trenutno nisu aktivni u uočenim napadima, sugerišu potencijalnu buduću evoluciju ovog zlonamjernog softvera koja bi mogla da uključi uvođenje komponenti ransomware zlonamjernog softvera zasnovanih na Linux operativnom sistemu.

Praktikovanjem opreza i proaktivnosti u odbrani od ovih prijetnji, korisnici mogu smanjiti njihov uticaj na svoju digitalnu infrastrukturu. Organizacije treba da daju prioritet jačanju politike lozinki, implementirajući robusne mjere bezbjednosti i nadgledanju uređaja povezanih na internet kako bi se zaštitile od Hadooken zlonamjernog softvera i sličnih zlonamjernih napada.

 

ZAŠTITA

Kako bi se zaštitili svoje sisteme od potencijalne prijetnje koju predstavlja Hadooken zlonamjerni softver, posebno usmjeren na Oracle WebLogic servere, potrebno je razmisliti o primjeni sljedećih preporuka:

  1. Potrebno je osigurati da su sav softver i aplikacije ažurirani sa najnovijim bezbjednim ispravkama. Ovo uključuje ažuriranje WebLogic servera na najnoviju verziju, kao i bilo koje druge biblioteke ili zavisnosti koje može da koristi,
  2. Potrebno je primjenjivati jake politike lozinki za korisničke naloge povezane sa WebLogic Lozinke treba da budu složene i jedinstvene, izbjegavajući uobičajene riječi, fraze i obrasce koje je lako pogoditi. Pored toga, potrebno je razmisliti o korišćenju autentifikacije u više koraka (eng. multi-factor authentication – MFA) da bi se dodao još jedan nivo bezbjednosti,
  3. Potrebno je izolovati kritične sisteme od manje bezbjednih oblasti mreže. Ovo može pomoći da se smanji potencijalna šteta ako zlonamjerni akter dobije pristup preko kompromitovanih WebLogic servera ili drugih ulaznih tačaka,
  4. Potrebno je konfigurisati zaštitne zidove da blokiraju nepotreban dolazni i odlazni saobraćaj, posebno za portove povezane sa WebLogic serverima (npr. 5556, 7001, 7002, 8001, …). Pored toga, razmislite o primijeni pravila koja ograničavaju broj neuspješnih pokušaja prijave sa jedne IP adrese ili unutar određenog vremenskog okvira da bi se spriječili napadi grubom silom (eng. brute force attacks),
  5. Redovno provjeravati WebLogic servere za bilo kakve znake kompromitovanja, kao što su neobični obrasci mrežnog saobraćaja, neovlaštene promjene u konfiguracionim datotekama ili neočekivana aktivnost korisnika. Ovo može pomoći da se otkriju napadi i da se brzo reaguje na njih,
  6. Implementirati rješenje za nadzor bezbjednosti koje kontinuirano nadgleda sisteme za sumnjive aktivnosti, uključujući potencijalne napade na WebLogic Ovo će omogućiti da se rano identifikuju prijetnje i preduzmu odgovarajuće mjere pre nego što izazovu značajnu štetu,
  7. Razvijati Plan odgovora na sajber prijetnju koji navodi korake koje treba preduzeti u slučaju kršenja bezbjednosti ili sumnje na napad. Uvjeriti se da je svo relevantno osoblje svjesno svoje uloge i odgovornosti, kao i svih neophodnih procedura za obuzdavanje, ublažavanje i oporavak od napada,
  8. Sprovoditi redovnu obuku zaposlenih o najboljim praksama za bezbjednost na internetu, uključujući prepoznavanje phishing pokušaja, izbjegavanje sumnjivih veza ili priloga u elektronskim porukama i korišćenje jakih lozinki. Ovo može pomoći u smanjenju rizika od ljudske greške koja dovodi do ugrožavanja bezbjednosti,

Primjenom ovih preporuka značajno se može poboljšati bezbjednosni položaj WebLogic servera i smanjiti potencijalni uticaj spretniji kao što je Hadooken zlonamjerni softver.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.