Ce n'est plus un jeu :
Les pirates ciblent les serveurs Oracle WebLogic pour les infecter avec un nouveau malware Linux nommé « Hadooken », qui lance un cryptomineur et un outil pour les attaques par déni de service distribué (DDoS).L’accès obtenu peut également être utilisé pour exécuter des attaques de ransomware sur les systèmes Windows. Hadooken est le nom d'une technique utilisée dans la franchise de jeux vidéos StreetFighter. Il est un nouveaux variant du cheval de Troie Xenomorph Android banking trojan et a été remarqué par les chercheurs de ThreatFabric security et a été classifié comme Xenomorph.C.
Comment il fonctionne :
-Une fois que les attaquants ont violé un environnement et obtenu des privilèges suffisants, ils téléchargent un script shell nommé « c » et un script Python nommé « y ».
- « c » et « y » déploient tous deux Hadooken mais le code shell essaie également de repérer des donnés SSH dans différents répertoires et utilise ses informations afin d’attaquer des serveurs. De plus, ‘c’ se déplace latéralement sur le réseau pour distribuer Hadooken.
-Hadooken, quand à lui, déploie et exécute un cryptomineur et le malware Tsunami , puis configure plusieures tâches cron avec des noms aléatoires et des fréquences d’exécution des charges utiles.
- Les chercheurs soulignent la pratique de renommer les programmes d’Hadooken en « – bash » ou « – java » , pour imiter les processus légitimes et se fondre dans les opérations normales.
-Une fois ce processus terminé, les journaux système sont effacés pour masquer les signes d’activité malveillante, ce qui rend la découverte et l’analyse médico-légale plus difficiles.
Qu'on-t-il attaqués:
Oracle WebLogic Server est un serveur d’applications Java EE de premier plan au niveau de l’entreprise, largement utilisé pour la création, le déploiement et la gestion d’applications distribuées à grande échelle. Développé par Oracle, il bénéficie d’une prise en charge solide des technologies Java, de la gestion des transactions et de l’évolutivité. En raison de sa prévalence dans des secteurs critiques tels que la banque, le commerce électronique et divers systèmes critiques pour les entreprises, WebLogic est souvent une cible de choix pour les cyberattaques. Malgré son architecture robuste, WebLogic a été vulnérable aux attaques en raison de vulnérabilités telles que des défauts de désérialisation et des contrôles d’accès inappropriés. Les erreurs de configuration, telles que des informations d’identification faibles ou des consoles d’administration exposées, peuvent entraîner de graves conséquences, notamment l’exécution de code à distance (RCE), l’élévation de privilèges et les violations de données si elles ne sont pas correctement sécurisées ou corrigées.
![[Image: attack-overview.jpg]](https://www.bleepstatic.com/images/news/u/1220909/2024/Cybersecurity/11/attack-overview.jpg)
Sources :
https://www.bleepingcomputer.com/news/security/new-linux-malware-hadooken-targets-oracle-weblogic-servers/
https://www.infosecurity-magazine.com/ne...h-malware/
https://linuxsecurity.com/news/server-se...en-malware
_____________________________________________________________________________________________________________
Les pirates ciblent les serveurs Oracle WebLogic pour les infecter avec un nouveau malware Linux nommé « Hadooken », qui lance un cryptomineur et un outil pour les attaques par déni de service distribué (DDoS).L’accès obtenu peut également être utilisé pour exécuter des attaques de ransomware sur les systèmes Windows. Hadooken est le nom d'une technique utilisée dans la franchise de jeux vidéos StreetFighter. Il est un nouveaux variant du cheval de Troie Xenomorph Android banking trojan et a été remarqué par les chercheurs de ThreatFabric security et a été classifié comme Xenomorph.C.
Comment il fonctionne :
-Une fois que les attaquants ont violé un environnement et obtenu des privilèges suffisants, ils téléchargent un script shell nommé « c » et un script Python nommé « y ».
- « c » et « y » déploient tous deux Hadooken mais le code shell essaie également de repérer des donnés SSH dans différents répertoires et utilise ses informations afin d’attaquer des serveurs. De plus, ‘c’ se déplace latéralement sur le réseau pour distribuer Hadooken.
-Hadooken, quand à lui, déploie et exécute un cryptomineur et le malware Tsunami , puis configure plusieures tâches cron avec des noms aléatoires et des fréquences d’exécution des charges utiles.
- Les chercheurs soulignent la pratique de renommer les programmes d’Hadooken en « – bash » ou « – java » , pour imiter les processus légitimes et se fondre dans les opérations normales.
-Une fois ce processus terminé, les journaux système sont effacés pour masquer les signes d’activité malveillante, ce qui rend la découverte et l’analyse médico-légale plus difficiles.
Qu'on-t-il attaqués:
Oracle WebLogic Server est un serveur d’applications Java EE de premier plan au niveau de l’entreprise, largement utilisé pour la création, le déploiement et la gestion d’applications distribuées à grande échelle. Développé par Oracle, il bénéficie d’une prise en charge solide des technologies Java, de la gestion des transactions et de l’évolutivité. En raison de sa prévalence dans des secteurs critiques tels que la banque, le commerce électronique et divers systèmes critiques pour les entreprises, WebLogic est souvent une cible de choix pour les cyberattaques. Malgré son architecture robuste, WebLogic a été vulnérable aux attaques en raison de vulnérabilités telles que des défauts de désérialisation et des contrôles d’accès inappropriés. Les erreurs de configuration, telles que des informations d’identification faibles ou des consoles d’administration exposées, peuvent entraîner de graves conséquences, notamment l’exécution de code à distance (RCE), l’élévation de privilèges et les violations de données si elles ne sont pas correctement sécurisées ou corrigées.
Sources :
https://www.bleepingcomputer.com/news/security/new-linux-malware-hadooken-targets-oracle-weblogic-servers/
https://www.infosecurity-magazine.com/ne...h-malware/
https://linuxsecurity.com/news/server-se...en-malware
_____________________________________________________________________________________________________________
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
