黑客瞄准 Oracle WebLogic 服务器，用一种名为“Hadooken”的新 Linux 恶意软件感染它们，该恶意软件会启动一个加密矿工和一个分布式拒绝服务 (DDoS) 攻击工具。

获得的访问权限还可能用于对 Windows 系统执行勒索软件攻击。容器安全解决方案公司 Aqua Security 的研究人员在蜜罐上观察到了这种攻击，威胁者由于凭证薄弱而攻破了蜜罐。

Oracle WebLogic Server 是一款企业级 Java EE 应用服务器，用于构建、部署和管理大规模分布式应用程序。该产品常用于银行和金融服务、电子商务、电信、政府组织和公共服务。

攻击者之所以将 WebLogic 视为目标，是因为它在业务关键型环境中非常受欢迎，这些环境通常拥有丰富的处理资源，是加密货币挖矿和 DDoS 攻击的理想选择。

Hadooken 猛烈攻击

一旦攻击者破坏环境并获得足够的权限，他们就会下载名为“c”的 shell 脚本和名为“y”的 Python 脚本。

研究人员表示，这两个脚本都会释放 Hadooken，但 shell 代码还会尝试在各个目录中查找 SSH 数据，并利用这些信息攻击已知服务器。此外，“c”还会在网络上横向移动以分发 Hadooken。

在已知主机上搜索 SSH 密钥

反过来，Hadooken 会投放并执行加密货币挖矿程序和 Tsunami 恶意软件，然后设置多个 cron 作业，这些作业的名称和有效负载执行频率都是随机的。

Tsunami 是一种 Linux DDoS 僵尸网络恶意软件，它通过对弱密码进行暴力攻击来感染易受攻击的 SSH 服务器。

攻击者之前曾使用 Tsunami 对受感染的服务器发起 DDoS 攻击和远程控制，而它再次被发现与 Monero 矿工一起部署。

Aqua Security 研究人员强调，Hadooken 将恶意服务重命名为“-bash”或“-java”，以模仿合法进程并与正常操作混合。

完成此过程后，系统日志将被清除以隐藏恶意活动的迹象，从而使发现和取证分析变得更加困难。

对 Hadooken 二进制文件的静态分析揭示了与 RHOMBUS 和 NoEscape 勒索软件家族的联系，但在观察到的攻击中没有部署勒索软件模块。

研究人员推测，在某些条件下，例如在操作员进行手动检查后，服务器访问权限可能会被用来部署勒索软件。未来版本也有可能引入此功能。

Hadooken 攻击概述

此外，在提供 Hadooken (89.185.85[.]102) 的其中一台服务器上，研究人员发现了一个 PowerShell 脚本，该脚本下载了适用于 Windows 的 Mallox 勒索软件。

有报道称，该 IP 地址用于传播勒索软件，因此我们可以假设威胁者不仅针对 Windows 端点执行勒索软件攻击，还针对 Linux 服务器，以攻击大型组织经常使用的软件来启动后门和加密矿工 - Aqua Security

根据研究人员使用 Shodan 搜索引擎对联网设备进行搜索的结果显示，公共网络上已有超过 230,000 台 Weblogic 服务器。

参考及来源：https://www.bleepingcomputer.com/news/security/new-linux-malware-hadooken-targets-oracle-weblogic-servers/