今天看啥  ›  专栏  ›  嘶吼专业版

新的 Linux 恶意软件 Hadooken 针对 Oracle WebLogic 服务器

嘶吼专业版  · 公众号  · 互联网安全  · 2024-09-19 15:53
    

主要观点总结

文章介绍了黑客使用名为“Hadooken”的新Linux恶意软件感染Oracle WebLogic服务器的情况。该恶意软件用于启动加密矿工和分布式拒绝服务(DDoS)攻击工具,并可能用于对Windows系统执行勒索软件攻击。Aqua Security的研究人员在蜜罐上观察到了这种攻击。文章还描述了Hadooken的攻击过程,包括投放和执行加密货币挖矿程序和Tsunami恶意软件,以及清除系统日志以隐藏恶意活动迹象等行为。此外,研究人员还发现了与RHOMBUS和NoEscape勒索软件家族的联系,并推测在某些条件下可能会部署勒索软件模块。最后,文章提到了在提供Hadooken的其中一台服务器上发现的PowerShell脚本和公共网络上已有超过230,000台Weblogic服务器的情况。

关键观点总结

关键观点1: 黑客使用新Linux恶意软件“Hadooken”感染Oracle WebLogic服务器。

该恶意软件用于启动加密矿工和DDoS攻击工具,并可能用于执行勒索软件攻击。

关键观点2: Aqua Security研究人员在蜜罐上观察到了这种攻击。

研究人员发现,一旦攻击者获得足够的权限,就会下载并执行名为“c”的shell脚本和名为“y”的Python脚本,释放Hadooken。

关键观点3: Hadooken会投放并执行加密货币挖矿程序和Tsunami恶意软件。

攻击者利用系统日志清除恶意活动的迹象,使得发现和取证分析更加困难。

关键观点4: 研究发现Hadooken与RHOMBUS和NoEscape勒索软件家族有联系。

在某些条件下,例如在操作员进行手动检查后,服务器访问权限可能会被用于部署勒索软件。

关键观点5: 服务器上存在PowerShell脚本和大量Weblogic服务器暴露在网络上。

研究人员发现了一个PowerShell脚本,该脚本下载了适用于Windows的Mallox勒索软件。公共网络上已有超过230,000台Weblogic服务器,这增加了攻击大型组织的风险。


免责声明:本文内容摘要由平台算法生成,仅为信息导航参考,不代表原文立场或观点。 原文内容版权归原作者所有,如您为原作者并希望删除该摘要或链接,请通过 【版权申诉通道】联系我们处理。

原文地址: 访问原文地址 (快捷配置)
总结与预览地址:访问文章预览/总结
文章地址: 访问文章快照