DarkIRC 僵尸网络利用 Oracle WebLogic CVE-2020-14882 接管系统

DarkIRC僵尸网络背后的运营商正在积极利用Oracle WebLogic中的关键远程代码执行（RCE）漏洞CVE-2020-14882。

专家报告说，DarkIRC僵尸网络正在积极地针对数千台暴露的Oracle WebLogic服务器，以尝试利用CVE-2020-14882攻击。

未经身份验证的攻击者可以利用CVE-2020-14882通过发送简单的HTTP GET请求来接管系统。

该漏洞的严重等级为9.8（满分10），由Oracle在10月的重要补丁更新（CPU）中得到了解决。

受影响的Oracle WebLogic Server版本为10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0。

该漏洞是由 Chaitin 安全研究实验室的安全研究员Voidfyoo发现的。

根据Shodan的说法，在线暴露的2,973台Oracle WebLogic服务器可能很容易受到利用上述漏洞的远程攻击。这些系统大多数位于中国（829个），其次是美国（526个）和伊朗（369个）。

Juniper Threat Labs的研究人员观察到了至少五个不同的恶意Spayload变体。

“ Juniper Threat Labs正在使用CVE-2020-14882对Oracle WebLogic软件进行主动攻击。如果成功利用此漏洞，则允许未经身份验证的远程代码执行。” 陈述了Juniper Threat Labs专家发布的分析结果。“在撰写本文时，我们发现了3109台使用Shodan的开放式Oracle WebLogic服务器。我们看到攻击/有效载荷至少有五种不同的变体。”

专家观察到的针对Oracle WebLogic服务器的有效载荷之一是DarkIRC恶意软件，该恶意软件目前在网络犯罪论坛上以75美元的价格出售。

在寻找这种威胁背后的运营商时，研究人员在Hack论坛中找到了一个名为“ Freak_OG ”的帐户，该帐户 自2020年8月以来一直在宣传僵尸网络。

目前尚不清楚Freak_OG是否是最近一波攻击的幕后演员。

攻击者向易受攻击的WebLogic服务器发送了HTTP GET请求，该服务器将执行Powershell脚本来下载并执行cnc[.]c25e6559668942[.]xyz中托管的二进制文件。

DarkIRC的作者使用了一个加密程序来避免检测，它包含了反分析和反沙箱功能。该恶意软件还尝试检测它是否在虚拟环境中运行，例如VMware，VirtualBox，VBox，QEMU或Xen虚拟机。

机器人将自己安装在％APPDATA％\ Chrome \ Chrome.exe中，并创建一个自动运行条目。其功能包括：

• 浏览器窃取器
• 键盘记录
• 比特币快船
• 拒绝服务
  • Slowloris
  • RUDY（RU-DeadYet？）
  • TCP泛洪
  • HTTP洪水
  • UDP泛洪
  • 同步洪水
• 蠕虫或在网络中传播
• 下载档案
• 执行命令

该恶意软件还实现了比特币剪裁功能,通过将复制的比特币钱包地址更改为恶意软件运营商的比特币钱包地址来劫持受感染系统上的比特币交易。

10月，SANS技术研究院的安全研究人员建立了一个蜜罐集合，该蜜罐的设置使研究人员在CVE-2020-14882的利用代码公开后不久即可捕获一系列攻击。

在11月初，至少一个勒索软件运营商似乎已经利用了影响Oracle WebLogic的CVE-2020-14882漏洞。

CISA还敦促管理员应用此安全更新来保护其服务器。