Kant's IT/Issue on IT&Security

새로운 Linux 악성코드 Hadooken, Oracle WebLogic 서버 타겟

Kant Jo 2024. 9. 25. 14:02

Linux malware called Hadooken targets Oracle WebLogic servers

 

Linux malware called Hadooken targets Oracle WebLogic servers

A new Linux malware called Hadooken targets Oracle WebLogic servers, it has been linked to several ransomware families.

securityaffairs.com

 

  • 개요
    • Hadooken이라는 새로운 Linux 악성코드가 발견되었으며, 이는 Oracle WebLogic 서버를 타겟으로 함
    • 이 악성코드는 Tsunami 악성코드암호화폐 채굴기를 배포하며 여러 랜섬웨어와 연관이 있음
  • 공격 과정
    • Hadooken은 WebLogic 서버에서 취약점약한 비밀번호를 악용해 초기 접근 권한을 얻고, 원격 코드 실행을 수행
    • 쉘 스크립트파이썬 스크립트를 사용하여 악성코드를 다운로드 및 실행
    • 공격자는 추가 서버를 감염시키기 위해 SSH 데이터를 포함한 디렉토리를 타겟으로 하여 측면 이동을 시도
    • 로그 삭제를 통해 활동을 숨김
  • 악성코드 분석
    • Hadooken암호화폐 채굴기Tsunami 악성코드를 포함
    • 암호화폐 채굴기는 3개의 경로에 서로 다른 이름으로 저장됨
      • /usr/bin/crondr
      • /usr/bin/bprofr
      • /mnt/-java
    • Tsunami 악성코드는 임의의 이름으로 "/tmp/₩<random₩>"에 저장
  • 추가적인 공격
    • Tsunami 악성코드는 현재 공격에서 사용된 흔적은 없지만, 향후 공격에서 사용할 가능성이 있음
  • 악성코드 다운로드 IP
    • 89.185.85.102: 독일에 등록된 IP로 현재 활성 상태이며, TeamTNTGang 8220과 연관
    • 185.174.136.204: 러시아에 등록된 IP로 현재 비활성 상태
  • 연관성
    • Hadooken 악성코드는 RHOMBUSNoEscape 랜섬웨어와 연관성을 보였으나, 동적 분석에서는 이들의 실제 사용이 확인되지 않음
  • Shodan 검색 결과
    • 230,000개의 인터넷에 연결된 WebLogic 서버가 존재
    • 대부분의 서버는 보호되고 있으나, 수백 개의 WebLogic 서버 관리 콘솔취약점이나 잘못된 설정으로 인해 공격에 노출될 수 있음
  • 보안 권장 사항
    • 조직들은 WebLogic 서버의 관리 콘솔을 보호하고, 취약점 패치강력한 비밀번호 사용을 통해 보안 수준을 강화해야 함