“Hadooken” มัลแวร์ Linux ตัวใหม่ กำหนดเป้าหมายเซิร์ฟเวอร์ Oracle WebLogic

326/67 (IT) ประจำวันอังคารที่ 17 กันยายน 2567

นักวิจัยจาก Aqua Security ค้นพบมัลแวร์ใหม่ชื่อ “Hadooken” ที่โจมตีเซิร์ฟเวอร์ WebLogic โดยที่มาของชื่อมัลแวร์นี้มาจากชื่อท่าการโจมตีในเกม Street Fighter ซึ่งความสามารถของ Hadooken นอกจากจะติดตั้งซอฟต์แวร์ขุดเงินดิจิทัล (cryptominer) แล้ว ยังปล่อยมัลแวร์ Tsunami ที่สามารถถูกใช้เพื่อเจาะระบบในภายหลังอีกด้วย

การโจมตีครั้งนี้มุ่งเป้าหมายไปที่เซิร์ฟเวอร์ WebLogic ซึ่งเป็นเซิร์ฟเวอร์ที่พัฒนาโดย Oracle และมักใช้งานในองค์กรใหญ่ โดยผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ได้ผ่านช่องโหว่รหัสผ่านที่อ่อนแอ จากนั้นพวกเขาใช้สคริปต์เชลล์และ Python เพื่อดาวน์โหลดและติดตั้งมัลแวร์ลงในเซิร์ฟเวอร์ พร้อมทั้งพยายามซ่อนร่องรอยการโจมตีอีกด้วย นักวิจัยพบว่ามัลแวร์ Hadooken ถูกดาวน์โหลดจากที่อยู่ IP 2 แห่ง คือ 89.185.85.102 (ยังใช้งานอยู่) จดทะเบียนในประเทศเยอรมนี และ 185.174.136.204 (ไม่ใช้งานแล้ว) จดทะเบียนในประเทศรัสเซีย โดย IP ที่ยังใช้งานอยู่เคยเชื่อมโยงกับกลุ่ม TeamTNT และ Gang 8220 แต่อย่างไรก็ตาม นักวิจัยยังไม่มีหลักฐานเพียงพอที่จะยืนยันว่าการโจมตีนี้มาจากกลุ่มใด และการค้นหาข้อมูลเพิ่มเติมผ่าน Shodan พบว่า มีเซิร์ฟเวอร์ WebLogic ที่เชื่อมต่อกับอินเทอร์เน็ตมากกว่า 230,000 เครื่อง แม้ว่าส่วนใหญ่จะได้รับการป้องกันดีแล้ว แต่ก็ยังมีบางส่วนที่อาจเสี่ยงต่อการถูกโจมตี นักวิจัยแนะนำให้ผู้ดูแลระบบเฝ้าระวังและอัปเดตซอฟต์แวร์เพื่อป้องกันการโจมตีเพิ่มเติมในอนาคต

แหล่งข่าว https://securityaffairs.com/168364/malware/hadooken-targets-oracle-weblogic-servers.html