網絡安全研究人員發現了一場針對Linux環境的新惡意軟件活動，目的是進行非法加密貨幣挖礦和傳播僵尸網絡惡意軟件。云安全公司Aqua指出，這項活動特別針對甲骨文Weblogic服務器，旨在傳播一種名為Hadooken的惡意軟件。

該惡意軟件利用的是Oracle Weblogic中的一個已知漏洞，即CVE-2020-14882。該漏洞允許攻擊者獲得對Weblogic服務器的未經授權訪問，并執行任意代碼。

安全研究員Assaf Moran表示，“當Hadooken行動被執行時，它會釋放一種名為Tsunami的惡意軟件，并部署一個加密貨幣挖礦程序來獲取加密貨幣，如門羅幣（XMR）。”

攻擊鏈利用已知的安全漏洞和配置錯誤，例如弱密碼，以獲得初始立足點并在易受攻擊的實例上執行任意代碼。這是通過啟動兩個幾乎相同的有效載荷來完成的，一個用Python編寫，另一個是shell腳本，兩者都負責從遠程服務器（“89.185.85[.]102”或“185.174.136[.]204”）檢索Hadooken惡意軟件。

Morag進一步表示，“shell腳本版本試圖遍歷包含SSH數據（如用戶憑據、主機信息和秘密）的各種目錄，并利用這些信息攻擊已知服務器。然后它在組織內或連接的環境中橫向移動，以進一步傳播Hadooken惡意軟件。”

Hadooken勒索軟件內置了兩個組件，一個加密貨幣挖礦程序和一個名為Tsunami（又稱Kaiten）的分布式拒絕服務（DDoS）僵尸網絡，后者有針對部署在Kubernetes集群中的Jenkins和Weblogic服務的攻擊歷史。

此外，該惡意軟件還負責通過在主機上創建cron作業以不同頻率定期運行加密貨幣挖礦程序來建立持久性。

Aqua指出，IP地址89.185.85[.]102在德國注冊，隸屬于托管公司Aeza International LTD（AS210644），Uptycs在2024年2月的先前報告將其與8220 Gang加密貨幣活動聯系起來，該活動濫用Apache Log4j和Atlassian Confluence Server及數據中心中的漏洞。

第二個IP地址185.174.136[.]204雖然目前處于非活動狀態，但也與Aeza Group Ltd.（AS216246）有關。正如Qurium和EU DisinfoLab在2024年7月強調的，Aeza是一家在莫斯科M9和法蘭克福的兩個數據中心都有業務的防彈托管服務提供商。

研究人員在報告中說：“Aeza的運作方式和快速增長可以通過招募與俄羅斯防彈托管服務提供商有關聯的年輕開發者來解釋，這些提供商為網絡犯罪提供庇護。”

參考來源：https://thehackernews.com/2024/09/new-linux-malware-campaign-exploits.html