Un nuevo malware apodado “Hadooken” ha sido descubierto, y su objetivo principal son los servidores Oracle WebLogic en sistemas Linux, comprometiendo su seguridad mediante credenciales de administrador débiles. Este ataque, detectado por los investigadores de Aqua Nautilus, destaca por su capacidad para infiltrar los servidores y desplegar componentes peligrosos, incluyendo un cryptominer y el malware “Tsunami”.
¿Qué es Oracle WebLogic?
Oracle WebLogic es una plataforma esencial para el desarrollo y la gestión de aplicaciones empresariales basadas en Java. Con más de 230,000 servidores WebLogic conectados a internet y cientos de consolas de administración expuestas, esta infraestructura es un blanco atractivo para cibercriminales. “Hadooken” aprovecha las vulnerabilidades de configuración y credenciales para obtener acceso inicial.
Componentes del Ataque
- Cryptominer: Una vez que el malware obtiene acceso, despliega un cryptominer, que consume recursos de los servidores para minar criptomonedas, dejando rastros en directorios como /usr/bin/ y /mnt/.
- Tsunami Malware: Este malware utiliza técnicas de evasión avanzadas, ocultando su rastro en directorios temporales como /tmp/. Además, crea tareas programadas en el sistema mediante cron jobs para garantizar la persistencia del ataque.
Evasión y Movimiento Lateral
El malware emplea técnicas de evasión como el uso de encoding base64 y el borrado de registros para dificultar su detección. Además, busca datos de autenticación SSH para moverse lateralmente entre los sistemas comprometidos.
Dos direcciones IP asociadas con este ataque están vinculadas a la distribución de ransomware como Mallox, lo que sugiere que esta campaña de malware podría ser solo el inicio de ataques más destructivos, incluyendo la distribución de ransomware.
Mitigaciones Recomendadas
Para proteger tu infraestructura, sigue estas recomendaciones:
- Utiliza herramientas de escaneo de infraestructura como código (IaC) para detectar malconfiguraciones.
- Emplea soluciones de monitoreo de seguridad en la nube (CSPM) para gestionar riesgos en entornos cloud.
- Realiza auditorías de configuraciones en clústeres Kubernetes y asegura las imágenes de contenedores.
¡Toma acción ahora! Refuerza tus servidores, analiza tus configuraciones de seguridad y mantente alerta ante posibles signos de compromiso. La prevención es la clave para evitar ser la próxima víctima de ataques avanzados como el de “Hadooken”.