DarkIRC 僵尸網絡利用 Oracle WebLogic CVE-2020-14882 接管系統

DarkIRC僵尸網絡背后的運營商正在積極利用Oracle WebLogic中的關鍵遠程代碼執行（RCE）漏洞CVE-2020-14882。

專家報告說，DarkIRC僵尸網絡正在積極地針對數千臺暴露的Oracle WebLogic服務器，以嘗試利用CVE-2020-14882攻擊。

未經身份驗證的攻擊者可以利用CVE-2020-14882通過發送簡單的HTTP GET請求來接管系統。

該漏洞的嚴重等級為9.8（滿分10），由Oracle在10月的重要補丁更新（CPU）中得到了解決。

受影響的Oracle WebLogic Server版本為10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0。

該漏洞是由 Chaitin 安全研究實驗室的安全研究員Voidfyoo發現的。

根據Shodan的說法，在線暴露的2,973臺Oracle WebLogic服務器可能很容易受到利用上述漏洞的遠程攻擊。這些系統大多數位于中國（829個），其次是美國（526個）和伊朗（369個）。

Juniper Threat Labs的研究人員觀察到了至少五個不同的惡意Spayload變體。

“ Juniper Threat Labs正在使用CVE-2020-14882對Oracle WebLogic軟件進行主動攻擊。如果成功利用此漏洞，則允許未經身份驗證的遠程代碼執行。” 陳述了Juniper Threat Labs專家發布的分析結果。“在撰寫本文時，我們發現了3109臺使用Shodan的開放式Oracle WebLogic服務器。我們看到攻擊/有效載荷至少有五種不同的變體。”

專家觀察到的針對Oracle WebLogic服務器的有效載荷之一是DarkIRC惡意軟件，該惡意軟件目前在網絡犯罪論壇上以75美元的價格出售。

在尋找這種威脅背后的運營商時，研究人員在Hack論壇中找到了一個名為“ Freak_OG ”的帳戶，該帳戶 自2020年8月以來一直在宣傳僵尸網絡。

目前尚不清楚Freak_OG是否是最近一波攻擊的幕后演員。

攻擊者向易受攻擊的WebLogic服務器發送了HTTP GET請求，該服務器將執行Powershell腳本來下載并執行cnc[.]c25e6559668942[.]xyz中托管的二進制文件。

DarkIRC的作者使用了一個加密程序來避免檢測，它包含了反分析和反沙箱功能。該惡意軟件還嘗試檢測它是否在虛擬環境中運行，例如VMware，VirtualBox，VBox，QEMU或Xen虛擬機。

機器人將自己安裝在％APPDATA％\ Chrome \ Chrome.exe中，并創建一個自動運行條目。其功能包括：

• 瀏覽器竊取器
• 鍵盤記錄
• 比特幣快船
• 拒絕服務
  • Slowloris
  • RUDY（RU-DeadYet？）
  • TCP泛洪
  • HTTP洪水
  • UDP泛洪
  • 同步洪水
• 蠕蟲或在網絡中傳播
• 下載檔案
• 執行命令

該惡意軟件還實現了比特幣剪裁功能,通過將復制的比特幣錢包地址更改為惡意軟件運營商的比特幣錢包地址來劫持受感染系統上的比特幣交易。

10月，SANS技術研究院的安全研究人員建立了一個蜜罐集合，該蜜罐的設置使研究人員在CVE-2020-14882的利用代碼公開后不久即可捕獲一系列攻擊。

在11月初，至少一個勒索軟件運營商似乎已經利用了影響Oracle WebLogic的CVE-2020-14882漏洞。

CISA還敦促管理員應用此安全更新來保護其服務器。