Nuevo Malware “Hadooken” Ataca Servidores Oracle WebLogic en Linux

Un nuevo malware apodado “Hadooken” ha sido descubierto, y su objetivo principal son los servidores Oracle WebLogic en sistemas Linux, comprometiendo su seguridad mediante credenciales de administrador débiles. Este ataque, detectado por los investigadores de Aqua Nautilus, destaca por su capacidad para infiltrar los servidores y desplegar componentes peligrosos, incluyendo un cryptominer y el malware “Tsunami”.

¿Qué es Oracle WebLogic?

Oracle WebLogic es una plataforma esencial para el desarrollo y la gestión de aplicaciones empresariales basadas en Java. Con más de 230,000 servidores WebLogic conectados a internet y cientos de consolas de administración expuestas, esta infraestructura es un blanco atractivo para cibercriminales. “Hadooken” aprovecha las vulnerabilidades de configuración y credenciales para obtener acceso inicial.

Componentes del Ataque
  • Cryptominer: Una vez que el malware obtiene acceso, despliega un cryptominer, que consume recursos de los servidores para minar criptomonedas, dejando rastros en directorios como /usr/bin/ y /mnt/.
  • Tsunami Malware: Este malware utiliza técnicas de evasión avanzadas, ocultando su rastro en directorios temporales como /tmp/. Además, crea tareas programadas en el sistema mediante cron jobs para garantizar la persistencia del ataque.
Evasión y Movimiento Lateral

El malware emplea técnicas de evasión como el uso de encoding base64 y el borrado de registros para dificultar su detección. Además, busca datos de autenticación SSH para moverse lateralmente entre los sistemas comprometidos.

Dos direcciones IP asociadas con este ataque están vinculadas a la distribución de ransomware como Mallox, lo que sugiere que esta campaña de malware podría ser solo el inicio de ataques más destructivos, incluyendo la distribución de ransomware.

Nuevo Malware "Hadooken" Ataca Servidores Oracle WebLogic en LinuxMitigaciones Recomendadas

Para proteger tu infraestructura, sigue estas recomendaciones:

  • Utiliza herramientas de escaneo de infraestructura como código (IaC) para detectar malconfiguraciones.
  • Emplea soluciones de monitoreo de seguridad en la nube (CSPM) para gestionar riesgos en entornos cloud.
  • Realiza auditorías de configuraciones en clústeres Kubernetes y asegura las imágenes de contenedores.

¡Toma acción ahora! Refuerza tus servidores, analiza tus configuraciones de seguridad y mantente alerta ante posibles signos de compromiso. La prevención es la clave para evitar ser la próxima víctima de ataques avanzados como el de “Hadooken”.

 

Related Posts
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.