Многофункциональный зловред Hadooken атакует Linux-серверы для майнинга и DDoS-атак

Исследователи из компании Aqua Security обнаружили новую вредоносную программу под названием Hadooken, нацеленную на серверы Linux. Зловред, распространяемый через уязвимости в серверах Oracle Weblogic, выполняет двойную функцию: майнинг криптовалют и запуск DDoS-атак.

По словам исследователя компании Aqua, Ассафа Морана, Hadooken использует известные уязвимости, а также ошибки в конфигурации серверов, включая слабые пароли. Программа может устанавливаться через специальный скрипт или программу на Python, обладающую идентичными функциями. Основной метод атаки включает сканирование систем на предмет данных SSH, таких как учетные данные пользователей и информация о хостах, что позволяет распространять зловред внутри целевой сети и за ее пределами.

Hadooken содержит два основных компонента: майнер криптовалют и модуль для DDoS-атак, известный как Tsunami или Kaiten. Заразная кампания началась с сервера, расположенного в Германии и принадлежащего хостинг-провайдеру Aeza International. Стоит отметить, что серверы этой компании уже использовались в ранее известных кампаниях 8220 Gang, где чужие вычислительные ресурсы применялись для нелегального майнинга.

Эксперты подчеркивают, что заражение Hadooken особенно опасно из-за его способности к распространению в локальных и подключенных сетях, что значительно увеличивает риск распространения зловреда по всей инфраструктуре организации. Они рекомендуют администраторам систем уделять особое внимание обеспечению безопасности серверов, обновлять ПО и использовать сильные пароли для предотвращения подобных инцидентов.