Miles de servidores Oracle WebLogic expuestos están siendo atacados activamente por actores de amenazas, en un intento de explotar la falla crítica CVE-2020-14882, que permite la ejecución remota de código no autenticado, advierten los investigadores de Juniper Threat Labs .
La vulnerabilidad informada con el código CVE-2020-14882 puede ser aprovechada por atacantes no autenticados para comprometer el sistema enviando una simple solicitud HTTP GET, afectando a Oracle WebLogic Server v10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4. 0 y 14.1.1.0. Oracle corrigió la vulnerabilidad en octubre de este año.
Los expertos dijeron que encontraron más de 3.000 servidores Oracle WebLogic expuestos a Internet potencialmente vulnerables a ataques que explotan CVE-2020-14882. La mayoría de estos sistemas se encuentran en China (849), Estados Unidos (599), Irán (370), Alemania (133) e India (124).
Juniper Threat Labs detectó al menos cinco tipos de ataques contra servidores vulnerables, uno de los cuales instala un bot llamado DarkIRC. Este bot realiza un algoritmo de generación de dominio de comando y control único que se basa en el valor enviado de una billetera criptográfica en particular. Actualmente, DarkIRC se vende en foros clandestinos por $ 75 USD.
Mientras investigaban a los operadores detrás de la botnet, los investigadores encontraron una cuenta en Hack Forums con el nombre de "Freak_OG" que anunciaba DarkIRC en agosto de 2020. En noviembre, la misma cuenta publicó un Crypter FUD (Fully Undetected), vendiéndolo por $ 25 USD. Los investigadores dijeron que el archivo mostrado en la publicación se parecía al "Nombre de la aplicación" de la carga útil (WindowsFormsApp2.exe) utilizada en los ataques observados contra los servidores Oracle WebLogic.
Sin embargo, no está claro si Freak_OG es el mismo actor de amenazas detrás de la reciente ola de ataques.
Según el informe de Juniper Threat Labs, el malware DarkIRC se entrega en servidores vulnerables utilizando un script de PowerShell ejecutado a través de una solicitud HTTP GET en forma de un binario malicioso que viene con capacidades de anti-análisis y anti-sandbox. Comprueba si se está ejecutando en máquinas virtuales VMware, VirtualBox, VBox, QEMU o Xen y, si no es así, el bot se instala en% APPDATA% \ Chrome \ Chrome.exe y crea una entrada de ejecución automática.
El malware incluye múltiples capacidades como el registro de teclas, la capacidad de descargar archivos y ejecutar comandos en el servidor infectado, robar credenciales, propagarse a otros dispositivos a través de MSSQL y RDP (fuerza bruta), SMB o USB, así como realizar varias versiones de Ataques DDoS.
DarkIRC también implementa el bitcoin clipper, que permite al malware cambiar la dirección de la billetera bitcoin copiada a la dirección de la billetera bitcoin del operador del malware y robar transacciones bitcoin en el sistema infectado.
“Los actores de amenazas siempre estarán a la caza de víctimas. Una de las formas más rápidas de victimizarlos es utilizar un exploit de día cero y atacar Internet, generalmente mediante una técnica de rociar y orar ”, dijeron los investigadores.
https://blogs.juniper.net/en-us/threat-research/darkirc-bot-exploits-oracle-weblogic-vulnerability
