Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Ботнет DarkIRC активно атакует серверы Oracle WebLogic

04/12/20

hack2-2Ботнет DarkIRC активно атакует тысячи незащищенных серверов Oracle WebLogic через уязвимость удаленного выполнения кода CVE-2020-14882 , исправленную компанией Oracle два месяца назад.

По данным Shodan, в настоящее время через интернет доступно 3 тыс. серверов Oracle WebLogic. Как сообщают специалисты Juniper Threat Labs, киберпреступники атакуют потенциально уязвимые серверы Oracle WebLogic с помощью как минимум пяти разных образцов вредоносного ПО. Однако наибольший интерес для исследователей представляет вредоносное ПО DarkIRC, которое можно купить на хакерском форуме всего за $75.

Продавец под псевдонимом Freak_OG начал рекламировать вредонос на форуме Hack Forums в августе 2020 года. Однако исследователи не уверены в том, что оператор вредоносного ПО DarkIRC, попавшегося в их ханипоты, и Freak_OG – один и тот же человек. Возможно, оператором ботнета является покупатель или партнер Freak_OG.

Вредоносное ПО доставляется на атакуемые серверы с помощью скриптов PowerShell, выполняющихся через HTTP GET-запросы. Полезная нагрузка представлена в виде двоичного кода с функциями обхода средств анализа и песочницы. Помимо прочего, перед разархивированием вредоносное ПО проверяет, не будет ли он запущен на виртуальной машине VMware, VirtualBox, VBox, QEMU или Xen, и при наличии среды песочницы процесс запуска DarkIRC не начинается.

DarkIRC обладает множеством функций, в том числе функциями кейлоггинга, загрузки файлов и выполнения команд на зараженном сервере, кражей учетных данных, распространения на другие устройства через MSSQL и RDP (брутфорс), SMB или USB, а также запуска нескольких версии DDoS-атак.

Злоумышленники также могут использовать бот в качестве биткойн-клиппера, позволяющего им в реальном времени менять адреса биткойн-кошельков, скопированные в буфер обмена, на подконтрольные им адреса.

Темы:OracleУгрозыботнет
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...