Defecto crítico de Oracle WebLogic explotado activamente por el malware DarkIRC

Una botnet conocida como DarkIRC está apuntando activamente a miles de servidores Oracle WebLogic expuestos en ataques diseñados para explotar la vulnerabilidad de ejecución remota de código (RCE) CVE-2020-14882 corregida por Oracle hace dos meses. Se puede acceder a casi 3000 servidores Oracle WebLogic a través de Internet según las estadísticas de Shodan y permiten […]

Una botnet conocida como DarkIRC está apuntando activamente a miles de servidores Oracle WebLogic expuestos en ataques diseñados para explotar la vulnerabilidad de ejecución remota de código (RCE) CVE-2020-14882 corregida por Oracle hace dos meses.

Se puede acceder a casi 3000 servidores Oracle WebLogic a través de Internet según las estadísticas de Shodan y permiten que atacantes no autenticados ejecuten código remoto en servidores específicos, según un informe de Juniper Threat Labs.

Si bien los atacantes están apuntando actualmente a servidores WebLogic potencialmente vulnerables utilizando al menos cinco cargas útiles diferentes, el más interesante es el malware DarkIRC “que actualmente se vende en foros de piratería por 75 dólares”.

El actor de amenazas que vende la botnet DarkIRC en Hack Forums se conoce con el nombre de Freak_OG y comenzó a publicitarlo a partir de agosto de 2020.

Juniper Threat Labs no dijo que este actor de amenazas está detrás de los ataques DarkICE en curso a pesar de que el nombre de archivo de una de las cargas útiles detectadas recientemente es similar a un nombre de archivo de Crypter FUD (Fully Undetected) también anunciado por Freak_OG a principios de este mes.

Infostealer y bot DDoS

DarkIRC se entrega en servidores sin parches mediante un script de PowerShell ejecutado a través de una solicitud HTTP GET en forma de binario malicioso que viene con capacidades anti-análisis y anti-sandbox.

Antes de desempaquetar el malware final, primero verificará si se está ejecutando en una máquina virtual VMware, VirtualBox, VBox, QEMU o Xen y detendrá el proceso de infección si detecta un entorno de espacio aislado.

Una vez descomprimido, el bot DarkIRC se instalará en% APPDATA% \ Chrome \ Chrome.exe y obtendrá persistencia en el dispositivo comprometido mediante la creación de una entrada de ejecución automática.

DarkIRC viene con una multitud de capacidades que incluyen, entre otras, el registro de teclas, la descarga de archivos y la ejecución de comandos en el servidor infectado, el robo de credenciales, la propagación a otros dispositivos a través de MSSQL y RDP (fuerza bruta), SMB o USB, así como el lanzamiento de varios versiones de ataques DDoS.

Los atacantes también pueden usar el bot como un clipper de Bitcoin que les permite cambiar las direcciones de la billetera de bitcoin copiadas en el portapapeles a una controlada por sus operadores en tiempo real.

Clipper de Bitcoin ( Laboratorios de amenazas de Juniper )

Defecto crítico de WebLogic también apuntado en ataques anteriores

Una semana después de que Oracle parcheó la vulnerabilidad, los actores de amenazas comenzaron a buscar instancias expuestas de Oracle WebLogic y a verificar si eran vulnerables a la explotación.

El mes pasado, los atacantes también apuntaron a servidores Oracle WebLogic vulnerables a vulnerabilidades CVE-2020-14882 para implementar balizas Cobalt Strike que permiten el acceso remoto persistente a servidores comprometidos para recolectar información e implementar cargas útiles de malware de segunda etapa.

“Curiosamente, el 66 por ciento de todos los ataques de ransomware de este trimestre involucraron el marco de trabajo en equipo rojo Cobalt Strike, lo que sugiere que los actores de ransomware confían cada vez más en la herramienta a medida que abandonan los troyanos de productos básicos”, reveló el equipo de respuesta a incidentes de Cisco Talos (CTIR) en un informe de septiembre. 

Estos ataques en curso no son sorprendentes dado lo trivial que es explotar CVE-2020-14882, su clasificación de gravedad crítica y el hecho de que ese código de explotación está disponible públicamente.