Los delincuentes informáticos están apuntando a los servidores Oracle WebLogic
para infectarlos con un nuevo
malware de Linux llamado «Hadooken», que lanza un criptominero y una herramienta para ataques distribuidos de
denegación de servicio (DDoS).
Oracle WebLogic Server es un servidor de aplicaciones Java EE de nivel
empresarial que se utiliza para crear, implementar y gestionar aplicaciones
distribuidas a gran escala. El producto se utiliza comúnmente en servicios
bancarios y financieros, comercio electrónico, telecomunicaciones,
organizaciones gubernamentales y servicios públicos.
Los investigadores de la empresa de soluciones de seguridad de contenedores
Aqua Security observaron
un ataque de este tipo en un honeypot, que el actor de amenazas violó debido a
credenciales débiles.
Los atacantes apuntan a WebLogic debido a su popularidad en entornos críticos
para los negocios que generalmente disfrutan de ricos recursos de
procesamiento, lo que los hace ideales para criptominería y ataques DDoS. El
acceso obtenido también puede utilizarse para ejecutar ataques de ransomware
en sistemas Windows.
WebLogic es un objetivo frecuente de ataques cibernéticos debido a
vulnerabilidades como fallas de deserialización y controles de acceso
inadecuados.
Las configuraciones incorrectas, como credenciales débiles o consolas de
administración expuestas, pueden provocar ejecución remota de código (RCE),
escalada de privilegios y filtraciones de datos si no se parchean o protegen
adecuadamente. En este caso, el actor de amenazas aprovechó la contraseña
débil para obtener acceso inicial y ejecutar código remoto.
Una vez que los atacantes violan un entorno y obtienen privilegios
suficientes, descargan un script de Shell llamado «c» y un
script de Python llamado «y». Los dos scripts eliminan
Hadooken, pero el código shell también intenta buscar datos SSH en
varios directorios y utiliza la información para atacar servidores conocidos,
dicen los investigadores. Además, ‘c’ se mueve lateralmente en la red
para distribuir Hadooken.
Hadooken, a su vez, coloca y ejecuta un criptominero y el malware Tsunami y
luego configura múltiples trabajos cron con nombres aleatorios y frecuencias
de ejecución de cargas útiles.
Tsunami es un malware botnet DDoS de Linux
que infecta servidores SSH vulnerables mediante ataques de fuerza bruta contra
contraseñas débiles.
Los atacantes han utilizado anteriormente Tsunami para lanzar ataques DDoS y
control remoto en servidores comprometidos, mientras que se lo ha visto
nuevamente implementado junto con los mineros de Monero.
Los investigadores de Aqua Security destacan la práctica de Hadooken de
rebautizar los servicios maliciosos como ‘-bash’ o ‘-java’, para
imitar procesos legítimos y combinarlos con las operaciones normales.
Una vez que se completa este proceso, los registros del sistema se borran para
ocultar los signos de actividad maliciosa, lo que dificulta el descubrimiento
y el análisis forense.
El análisis estático del binario Hadooken descubrió enlaces a las familias de
ransomware RHOMBUS y NoEscape, aunque no se implementaron módulos de
ransomware en los ataques observados.
Los investigadores plantean la hipótesis de que el acceso al servidor puede
utilizarse para implementar ransomware en determinadas condiciones, como
después de que los operadores realicen comprobaciones manuales. También es
posible que la capacidad se introduzca en una versión futura.
Además, en uno de los servidores que entregaban Hadooken (89.185.85[.]102),
los investigadores descubrieron un script de PowerShell que descargaba el
ransomware Mallox para Windows.
Hay algunos informes de que esta dirección IP se utiliza para difundir este
ransomware, por lo que podemos suponer que los actores de la amenaza se
dirigen tanto a los puntos finales de Windows para ejecutar un ataque de
ransomware como a los servidores Linux para atacar el software que suelen
utilizar las grandes organizaciones para lanzar puertas traseras y
criptomineros.
Según los hallazgos de los investigadores que utilizaron el motor de búsqueda
Shodan para dispositivos conectados a Internet, hay más de 236.000 servidores
Weblogic en la web pública.
En la sección final del informe de Aqua Security se presenta una
lista completa de medidas de defensa y mitigaciones así como de IOC conocidos.
Fuente:
BC