Malware Linux baru eksploitasi server Oracle WebLogic
Oracle WebLogic adalah server aplikasi yang dirancang untuk mengembangkan, menerapkan, dan mengelola aplikasi enterprise berbasis Java EE dan Jakarta EE.
Peneliti keamanan dari Aqua Nautilus telah menemukan jenis malware baru yang bernama “Hadooken” yang menargetkan server Oracle WebLogic. Malware ini mengeksploitasi kelemahan pada kredensial admin yang lemah untuk mendapatkan akses awal, dan mengancam server dengan dua komponen utama: *cryptominer* dan *malware* Tsunami.
Dilansir dari Cybersecurity News (16/9), Oracle WebLogic adalah server aplikasi yang dirancang untuk mengembangkan, menerapkan, dan mengelola aplikasi enterprise berbasis Java EE dan Jakarta EE. Teknologi ini menjadi komponen penting dalam Oracle Fusion Middleware yang menyediakan lingkungan yang handal dan dapat diandalkan untuk pengembangan skala besar.
Malware Hadooken memanfaatkan celah keamanan pada kredensial admin yang lemah untuk mendapatkan akses ke server Oracle WebLogic. Setelah mendapatkan akses, malware ini mendistribusikan dua komponen utama:
1. Cryptominer yang teridentifikasi dengan MD5: 9bea7389b633c331e706995ed4b3999c.
2. Malware Tsunami dengan MD5: 8eef5aa6fa9859c71b55c1039f02d2e6.
Proses serangan dimulai dengan penggunaan skrip shell dan Python untuk mengunduh dan mengeksekusi payload, sering kali di direktori non-persisten seperti /tmp. *Cryptominer* diinstal dengan nama file seperti '/usr/bin/crondr', '/usr/bin/bprofr', dan '/mnt/-java', sementara Tsunami menggunakan nama file acak di /tmp.
Untuk memastikan kelangsungan serangan, malware ini membuat *cron job* di direktori /etc/cron.
Malware Hadooken menggunakan beberapa teknik evasif, termasuk pengkodean base64, pembersihan log, dan *process masquerading* untuk menyembunyikan aktivitasnya. Beberapa alamat IP yang terkait dengan serangan ini, seperti 89.185.85.102 dan 185.174.136.204, juga terhubung dengan distribusi ransomware Mallox dan RHOMBUS, serta menunjukkan strategi serangan lintas platform.
Selain itu, sebuah skrip PowerShell 'b.ps1' juga digunakan untuk mendistribusikan ransomware Mallox, mengindikasikan bahwa serangan ini dirancang untuk menyasar berbagai platform sekaligus.
Menurut data dari Shodan, lebih dari 230.000 server WebLogic yang terhubung ke internet terdeteksi, dengan ratusan konsol admin yang terbuka dan rentan terhadap eksploitasi. Hal ini semakin memperbesar risiko serangan dan menunjukkan pentingnya pengamanan terhadap server-server ini.
Para peneliti merekomendasikan beberapa langkah mitigasi untuk mencegah serangan malware ini:
1. Gunakan alat pemindai *Infrastructure as Code* (IaC) untuk mendeteksi kesalahan konfigurasi sebelum implementasi.
2. Gunakan alat Cloud Security Posture Management (CSPM) untuk memindai risiko dalam konfigurasi cloud.
3. Pindai kluster Kubernetes untuk menemukan kesalahan konfigurasi.
4. Amankan *container images* dan file Docker.
5. Monitor lingkungan *runtime* untuk deteksi dini.
Dengan adanya serangan malware Hadooken ini, keamanan server Oracle WebLogic semakin menjadi perhatian utama, terutama di lingkungan perusahaan yang bergantung pada teknologi ini untuk operasional mereka.