Une nouvelle menace informatique a émergé, ciblant spécifiquement les serveurs Oracle WebLogic grâce au malware Hadooken. Ce logiciel malveillant, utilisé à des fins de cryptomining et de déni de service distribué (DDoS), illustre l’évolution constante des cyberattaques et souligne l’importance cruciale de renforcer la cybersécurité des infrastructures informatiques. Les chercheurs en sécurité d’Aqua Nautilus ont détecté ce malware après qu’il ait infiltré l’un de leurs pièges à miel le mois dernier, révélant une attaque sophistiquée visant à exploiter les vulnérabilités des serveurs WebLogic.
Détails de l’attaque
Les cybercriminels ont réussi à pénétrer le système en exploitant des vulnérabilités connues des serveurs WebLogic. Une fois l’accès initial obtenu, ils ont déployé Hadooken à l’aide de deux scripts quasiment identiques : un script Python et un script C-shell. L’un de ces scripts servait probablement de sauvegarde pour l’autre, garantissant ainsi la persistance du malware sur le système compromis. Ces scripts ont été conçus pour exécuter Hadooken sur le piège à miel compromis et ensuite supprimer les fichiers originaux, rendant la détection plus difficile.
Assaf Morag, chercheur principal chez Aqua Nautilus, a expliqué dans un rapport :
En plus, la version script shell tente de parcourir divers répertoires contenant des données SSH (telles que les informations d’identification des utilisateurs, les informations sur les hôtes et les secrets) et utilise ces informations pour attaquer des serveurs connus.
Cette approche permet aux attaquants de se propager latéralement au sein de l’organisation ou des environnements connectés, augmentant ainsi la portée de l’infection par Hadooken.
Le malware Hadooken
Le malware Hadooken, dont le nom est inspiré du célèbre mouvement « Surge Fist » de la série de jeux vidéo Street Fighter, est conçu pour effectuer deux tâches principales : le cryptomining et les attaques DDoS. Une fois déployé sur un serveur compromis, Hadooken utilise les ressources CPU et GPU du système pour miner des cryptomonnaies, générant ainsi des revenus illicites pour les cybercriminels. De plus, il peut lancer des attaques DDoS en utilisant le malware Tsunami, présent dans les fichiers téléchargés.
Hadooken se distingue par sa capacité à se répliquer et à se propager à d’autres systèmes vulnérables au sein du même réseau. Cette résilience renforce l’efficacité de l’attaque, augmentant les chances de succès des cybercriminels tout en minimisant les risques de détection par les systèmes de surveillance.
Une cible de valeur
Les serveurs Oracle WebLogic sont largement utilisés par des milliers d’organisations, y compris certaines des plus grandes entreprises bancaires et de services financiers, des cabinets de services professionnels, des entités de santé et des sociétés de fabrication. Ces serveurs permettent de créer et de déployer des applications Java, modernisant ainsi l’environnement des applications d’entreprise, déployant des applications Java dans le cloud et construisant des microservices Java.
Cependant, les vulnérabilités critiques, y compris celles permettant une prise de contrôle complète du serveur WebLogic, ont fait de cette technologie une cible fréquente pour les cyberattaques au fil des années. Les erreurs de configuration, telles que les mots de passe faibles et les consoles d’administration exposées sur Internet, ont exacerbé les risques associés à cette plateforme. Dans l’attaque sur le piège à miel d’Aqua, l’acteur malveillant a obtenu un accès initial au serveur WebLogic en forçant l’accès au panneau d’administration avec un mot de passe délibérément faible. Cette faille de sécurité a permis l’installation de Hadooken et d’autres logiciels malveillants, compromettant ainsi la sécurité du système.
Conséquences de l’attaque
L’infection par Hadooken peut avoir des conséquences graves pour les organisations touchées. L’utilisation intensive des ressources CPU et GPU par le cryptomining entraîne une augmentation significative de la consommation énergétique, ce qui peut se traduire par des coûts accrus et une usure prématurée du matériel informatique. De plus, les ralentissements des services hébergés peuvent affecter la productivité et la disponibilité des applications critiques pour l’entreprise.
Selon une étude récente menée par des experts en cybersécurité, les attaques de cryptomining représentent une menace croissante en raison de leur capacité à générer des revenus stables et anonymes pour les attaquants. « Les attaques de cryptomining sont particulièrement insidieuses car elles peuvent passer inaperçues pendant de longues périodes, causant des dégâts progressifs sans déclencher immédiatement des alertes de sécurité », explique Dr. Marie Dupont, experte en cybersécurité.
En outre, l’introduction de multiples cron jobs par Hadooken pour maintenir sa persistance sur le système compromis complique davantage la détection et l’élimination du malware. Ces tâches planifiées exécutent automatiquement des commandes ou des scripts à des intervalles spécifiques, garantissant ainsi que Hadooken reste actif même après des tentatives de nettoyage ou de redémarrage du système.
Possibilité d’expansion
L’analyse d’Aqua Nautilus a révélé qu’aucun signe n’indique que les attaquants ont effectivement utilisé Tsunami dans l’attaque actuelle. Cependant, la possibilité que ce malware soit déployé à une étape ultérieure n’est pas exclue. Morag souligne également que les attaquants pourraient adapter Hadooken pour cibler d’autres plateformes Linux avec relative facilité, augmentant ainsi la portée de leurs attaques.
Pour le moment, nous n’avons observé que des indications que les attaquants forcent l’accès aux serveurs WebLogic. Mais en nous basant sur d’autres attaques et campagnes, nous supposons que les attaquants ne se limiteront pas à WebLogic.
Il est également probable que les attaquants élargissent leurs objectifs au-delà du cryptomining et des attaques DDoS dans les futures campagnes utilisant Hadooken. L’analyse statique du malware a révélé des liens dans le code avec les ransomwares Rhombus et NoEscape, bien que ces éléments n’aient pas été utilisés lors de l’attaque sur le piège à miel. De plus, l’utilisation de deux adresses IP distinctes, situées en Allemagne et en Russie, suggère une possible collaboration ou diversification des techniques employées par les cybercriminels. Bien que l’adresse IP allemande ait été utilisée par d’autres groupes de menace tels que TeamTNT et Gang 8220 dans des campagnes précédentes, aucune preuve ne lie directement ces groupes à la campagne Hadooken.
Recommandations de protection
Face à cette menace, il est crucial que les organisations mettent en place des mesures de sécurité robustes pour se protéger contre les attaques similaires. Aqua Nautilus recommande l’utilisation de mécanismes tels que les outils de scan de l’infrastructure en tant que code (IaC), les outils de gestion de la posture de sécurité dans le cloud, les outils de sécurité et de configuration Kubernetes, les outils de sécurité en temps réel et les outils de sécurité des conteneurs. Ces solutions peuvent aider à identifier et à corriger les vulnérabilités avant qu’elles ne soient exploitées par les cybercriminels.
Parmi les meilleures pratiques, la mise à jour régulière des serveurs WebLogic pour corriger les vulnérabilités connues est essentielle. L’utilisation de firewalls et de systèmes de détection d’intrusion peut également aider à identifier et à bloquer les tentatives d’infection. De plus, il est recommandé de surveiller en permanence les performances des serveurs afin de détecter toute activité anormale pouvant indiquer une attaque de cryptomining.
L’adoption de solutions antivirus avancées capables de détecter et de neutraliser les logiciels malveillants tels que Hadooken constitue une autre ligne de défense efficace. Ces outils doivent être régulièrement mis à jour pour faire face aux nouvelles menaces et aux techniques d’évasion employées par les cybercriminels.
Perspectives futures
La sophistication des attaques de cryptomining ne cesse d’augmenter, poussant les entreprises à adopter des stratégies de cybersécurité de plus en plus avancées. Les experts prévoient que les cybercriminels continueront à exploiter les vulnérabilités des systèmes populaires comme WebLogic, rendant indispensable une vigilance accrue et une adaptation continue des mesures de protection.
L’augmentation des cyberattaques ciblant les serveurs WebLogic avec le malware Hadooken met en lumière la nécessité pour les entreprises de renforcer leurs défenses en cybersécurité. En adoptant des pratiques de sécurité rigoureuses et en restant informées des dernières menaces, il est possible de réduire significativement les risques d’infection et de protéger les infrastructures critiques contre les attaques sophistiquées des cybercriminels.
