Attaques de Linux et Oracle Weblogic

Attaques de Linux et Oracle Weblogic

Aperçu rapide

– Le logiciel malveillant Hadooken cible les systèmes Linux, en se concentrant sur les serveurs Weblogic d’Oracle par le biais d’informations d’identification insuffisantes.

– La stratégie d’attaque double comprend le minage de crypto-monnaie et le déploiement du botnet Tsunami pour les attaques DDoS.

– Une portée mondiale : Liée à des adresses IP en Allemagne et en Russie, impliquant des fournisseurs d’hébergement à toute épreuve.

– Menace persistante : Utilise des tâches cron pour assurer la continuité des opérations de minage sur les systèmes infectés.

– Stratégies de défense : Des mises à jour régulières, une authentification plus robuste et une sécurité multicouche sont essentielles.

 

Les cybermenaces évoluent plus rapidement que jamais dans un monde où les experts en cybersécurité ont récemment découvert une nouvelle campagne de logiciels malveillants ciblant les environnements Linux. Quelle est la cible ? Les mineurs de cryptomonnaie et les botnets visent principalement les serveurs Weblogic d’Oracle. Le logiciel malveillant à l’origine de cette attaque est une souche connue sous le nom de Hadooken, découverte par la société de sécurité cloud Aqua. Alors que les paysages numériques continuent de se développer, l’attention portée à la protection des environnements Linux s’est intensifiée, et cette récente campagne de logiciels malveillants en est la preuve.

 

Le fonctionnement de Hadooken commence lorsque les attaquants prennent pied grâce à des vulnérabilités dans le système. Ces vulnérabilités ne sont pas nécessairement nouvelles, mais découlent souvent d’une mauvaise configuration ou de protocoles de sécurité faibles, tels que des informations d’identification inadéquates. Une fois à l’intérieur, l’attaque se déroule au fur et à mesure que le logiciel malveillant s’exécute, laissant tomber à la fois un botnet Tsunami et un crypto-miner. En exploitant les points faibles du système, les pirates exploitent ces failles pour lancer diverses activités nuisibles, y compris le minage de cryptomonnaie sans le consentement du propriétaire. Malheureusement, ces attaques sont de plus en plus fréquentes, les criminels ciblant de plus en plus les environnements Linux pour exploiter la puissance de calcul à des fins illicites.

 

Cibler Oracle Weblogic et au-delà

Si le système d’exploitation Linux est au centre des préoccupations, c’est le serveur Oracle Weblogic qui est le plus visé par cette campagne de logiciels malveillants. Weblogic, un serveur populaire pour la création d’applications Java d’entreprise, est une cible cruciale en raison de sa large base de déploiement et de son rôle critique dans de nombreuses organisations. Dans ce cas précis, le logiciel malveillant Hadooken est libéré par le biais d’une stratégie à double charge utile, utilisant à la fois Python et des scripts shell pour récupérer le logiciel malveillant à partir de serveurs distants, y compris des adresses IP en Allemagne.

 

Une fois Hadooken exécuté avec succès, il déclenche une chaîne d’actions dangereuses. En plus d’initier le mineur de cryptomonnaie, le logiciel malveillant déploie également le botnet Tsunami, un botnet de déni de service distribué (DDoS) connu pour ses attaques contre les services Jenkins et Weblogic. Grâce à ce processus, les attaquants peuvent propager le logiciel malveillant sur plusieurs serveurs, ce qui augmente sa portée et son impact.

 

La chaîne d’attaque en plusieurs étapes des logiciels malveillants

L’un des aspects critiques de cette attaque est la méthode par laquelle elle se propage dans les systèmes. Après avoir obtenu un accès initial par le biais d’informations d’identification faibles ou de vulnérabilités exploitées, le logiciel malveillant commence à exécuter un code arbitraire sur les instances affectées. L’attaque est menée au moyen de deux charges utiles presque identiques : l’une écrite en Python et l’autre dans un script shell. Les deux charges utiles ont la même mission : récupérer le logiciel malveillant Hadooken sur un serveur distant. Il est intéressant de noter que le script shell va plus loin en explorant divers répertoires de données SSH, tels que les informations d’identification de l’utilisateur et les informations sur l’hôte.

 

Cela permet au logiciel malveillant de collecter des données sensibles sur le serveur, telles que des informations d’identification et des secrets, qui sont ensuite utilisées pour infiltrer d’autres systèmes connectés. En tirant parti de ces failles de sécurité, Hadooken peut se déplacer latéralement dans le réseau d’une organisation, infectant ainsi d’autres systèmes. C’est un exemple classique de la façon dont les cybercriminels exploitent les points faibles d’un système, en se déplaçant régulièrement dans des environnements interconnectés pour faire des ravages à plus grande échelle.

 

Le pouvoir de la persistance et de la diffusion

Les concepteurs de Hadooken ont créé un outil pour une exploitation immédiate et ont veillé à ce qu’il persiste à long terme dans le système cible. Le logiciel malveillant installe des tâches cron et des tâches planifiées dans les systèmes de type Unix pour s’assurer que le mineur de cryptomonnaie s’exécute périodiquement. Il peut ainsi poursuivre ses opérations en arrière-plan, en utilisant les ressources du système pour extraire des cryptomonnaies au fil du temps.

 

Ce qui rend Hadooken encore plus insidieux, c’est sa double nature. Alors qu’une partie du logiciel malveillant extrait des crypto-monnaies, une autre partie – le botnet Tsunami – exécute des attaques par déni de service distribué (DDoS). Ces attaques peuvent submerger les serveurs web et provoquer de graves perturbations pour les entreprises et les fournisseurs de services. Le réseau de zombies peut propager le logiciel malveillant à d’autres systèmes vulnérables, ce qui fait de Hadooken une menace aux multiples facettes et aux implications étendues.

 

La portée mondiale de la cybercriminalité

L’utilisation d’adresses IP spécifiques liées à ces attaques souligne la dimension internationale de cette opération de cybercriminalité. Selon le rapport d’Aqua, l’une des adresses IP liées au logiciel malveillant est enregistrée en Allemagne sous le nom de la société d’hébergement Aeza International LTD. Il ne s’agit toutefois pas d’un incident isolé : la même adresse IP a déjà été associée à d’autres campagnes malveillantes, notamment à une opération de minage de cryptomonnaies menée par le célèbre gang 8220. Ce gang a exploité des vulnérabilités dans Apache Log4j et Atlassian Confluence Server pour mener des activités de minage illégales.

 

Une autre adresse IP liée à la campagne Hadooken a des liens avec la Russie par l’intermédiaire d’un fournisseur d’hébergement à toute épreuve. Les services d’hébergement à toute épreuve d’Aeza Group Ltd. sont réputés pour offrir une infrastructure difficile à tracer et à fermer, ce qui en fait un choix populaire pour les cybercriminels. Lié à des centres de données à Moscou et à Francfort, Aeza se développe, en partie grâce au recrutement de jeunes développeurs. Ces derniers sont affiliés à des fournisseurs de services de cybercriminalité, qui leur offrent un refuge pour mener leurs activités.

 

Se défendre contre les Hadooken et autres menaces similaires

Les logiciels malveillants comme Hadooken devenant de plus en plus sophistiqués, les organisations doivent prendre des précautions supplémentaires pour se défendre contre de telles menaces. Étant donné que les logiciels malveillants tirent parti d’informations d’identification faibles et de vulnérabilités connues, l’une des premières mesures de prévention de ces attaques consiste à s’assurer que les systèmes sont régulièrement mis à jour et corrigés. La mise en œuvre de mesures d’authentification plus robustes et la surveillance des informations d’identification SSH peuvent contribuer à combler les lacunes exploitées par Hadooken.

 

Enfin, les organisations devraient adopter une approche multicouche de la sécurité. Cela pourrait inclure le déploiement d’outils de sécurité avancés qui détectent les comportements inhabituels du réseau, la formation des employés à reconnaître les tentatives d’hameçonnage et la sécurisation des systèmes de sauvegarde pour prévenir les dommages à long terme causés par les attaques de logiciels malveillants. L’évolution du paysage des cybermenaces doit s’accompagner d’une évolution des moyens de défense. Le cas de Hadooken nous rappelle brutalement qu’aucun système n’est totalement à l’abri des cybermenaces, mais qu’en prenant les précautions nécessaires, il est possible d’atténuer les risques.

 

Les cybercriminels ont toujours une longueur d’avance dans un monde où la technologie évolue à la vitesse de l’éclair, attendant la prochaine occasion pour frapper. Cependant, avec une sensibilisation et une préparation adéquates, les organisations peuvent s’assurer qu’elles ne sont pas des cibles faciles pour le prochain Hadooken.