کمیته رکن چهارم – محققان امنیتی بدافزاری جدید به نام Hadooken را کشف کردهاند که سرورهای Oracle WebLogic را هدف قرار میدهد و به چندین خانواده باجافزار مرتبط دانسته شده است.
به گزارش کمیته رکن چهارم، این بدافزار که توسط تیم Aqua Security Nautilus شناسایی شده، پس از نفوذ به سرورهای WebLogic، یک بدافزار Tsunami و یک cryptominer را مستقر میکند. سرورهای WebLogic که توسط شرکت اوراکل توسعه یافتهاند، برای مدیریت و اجرای برنامههای توزیعشده در مقیاس بزرگ استفاده میشوند و همین امر آنها را هدف جذابی برای مهاجمان سایبری قرار میدهد.
در حملات اخیر، مهاجمان از رمز عبورهای ضعیف برای دسترسی اولیه به سرورهای WebLogic استفاده کرده و سپس به اجرای کدهای مخرب از راه دور (RCE) پرداختهاند. پس از نفوذ موفقیتآمیز، اسکریپتهای شل و پایتون جهت دانلود و اجرای بدافزار Hadooken مورد استفاده قرار میگیرند.
بر اساس گزارش Aqua Security، بدافزار Hadooken پس از اجرا دو فایل ELF را مستقر میکند: اولین فایل یک cryptominer است که در چندین مسیر مختلف ذخیره میشود و دومین فایل یک بدافزار Tsunami است که برای حملات بعدی نگهداری میشود. مهاجمان همچنین از روشهایی مانند پاککردن لاگها برای مخفی نگه داشتن فعالیتهای خود بهره میبرند.
تحلیلها نشان میدهد که بیش از ۲۳۰ هزار سرور WebLogic به اینترنت متصل هستند که برخی از آنها در معرض حملات مشابه قرار دارند. این یافتهها اهمیت تقویت امنیت سرورهای حساس و استفاده از رمزهای عبور قوی را بیش از پیش مشخص میکند.
