Il panorama delle minacce informatiche è in continua evoluzione, con nuovi malware che emergono regolarmente. Uno degli ultimi arrivati è Hadooken, che negli ultimi tempi sta prendendo di mira i server Oracle WebLogic.
Scoperto dai ricercatori di Aqua Security, Hadooken rappresenta una seria minaccia per le infrastrutture IT, sfruttando vulnerabilità e password deboli per infiltrarsi nei sistemi.
Oracle WebLogic, lo ricordiamo, è un server applicativo Java EE utilizzato per creare e gestire applicazioni distribuite su larga scala principalmente nei settori bancario ed e-commerce in ambienti aziendali critici.
Sulla base dei risultati ottenuti dai ricercatori utilizzando il motore di ricerca Shodan, sul web pubblico ci sarebbero più di 230 mila server WebLogic.
Indice degli argomenti
Come funziona il malware Hadooken
Hadooken è un malware per Linux che utilizza una serie di tecniche sofisticate per compromettere i server WebLogic.
Il processo di infezione inizia con l’accesso al server tramite credenziali deboli, per poi scaricare ed eseguire script dannosi che installano un cryptominer e il malware Tsunami.
Fonte: Aqua Security.
In dettaglio, le fasi dell’attacco sono:
- Accesso Iniziale: Hadooken sfrutta password deboli per ottenere l’accesso ai server WebLogic. I ricercatori hanno osservato un attacco di questo tipo su di un proprio honeypot che l’autore della minaccia ha violato.
- Download di script dannosi: Una volta ottenuto l’accesso con privilegi amministrativi, il malware scarica due script dannosi da server remoti. Uno script shell denominato “c” e uno script Python denominato “y”.
- Esecuzione degli script: Gli script vengono eseguiti, installando un cryptominer e il malware Tsunami. Lo script Python viene usato qualora lo script shell non funzioni sul server target. Lo script shell infine scarica (nella directory ‘/tmp’), esegue e poi elimina il malware Hadooken.
- Movimento laterale: Hadooken si diffonde lateralmente attraverso la rete, rubando le credenziali SSH per compromettere ulteriori sistemi.
- Persistenza: Il malware si occupa di stabilire la persistenza sull’host creando diversi cronjob per eseguire periodicamente il cryptominer a frequenze variabili.
Possibili implicazioni
L’infezione da Hadooken può avere gravi conseguenze per le organizzazioni.
Mentre il cryptominer utilizza le risorse del server per generare criptovalute, rallentando le prestazioni del sistema e aumentando i costi operativi, il malware Tsunami può essere utilizzato per ulteriori attacchi, come il lancio di attacchi DDoS.
Inoltre, l’analisi statica del payload avrebbe rilevato relazioni con le famiglie ransomware RHOMBUS e NoEscape, e su uno degli indirizzi IP impiegato per la distribuzione di Hadooken, i ricercatori avrebbero scoperto anche uno script PowerShell per il rilascio del ransomware Mallox per Windows.
“Quindi possiamo supporre che gli autori della minaccia stiano prendendo di mira sia gli endpoint Windows per eseguire un attacco ransomware, sia i server Linux per colpire software spesso utilizzati dalle grandi organizzazioni per lanciare backdoor e cryptominer”, spiega l’analista Assaf Morag di Aqua Security.
Misure di protezione
Hadooken rappresenta una minaccia significativa per le applicazioni WebLogic, ma con le giuste misure di sicurezza, è possibile mitigarne i rischi per proteggere le proprie infrastrutture IT, adottando una serie di misure di sicurezza:
- mantenere i server WebLogic aggiornati con le ultime patch di sicurezza;
- utilizzare strumenti di monitoraggio per rilevare attività sospette;
- aggiungere un ulteriore livello di sicurezza per l’accesso ai sistemi.
Il rapporto di Aqua Security si conclude consigliando ai responsabili IT un elenco completo di ulteriori misure di mitigazione per trovare e prevenire errate configurazioni tramite strumenti per la scansione e l’analisi dei cluster Kubernetes, ambienti runtime e modelli IaC(Infrastructure as Code).
