Un reciente reporte indica que los operadores de una botnet identificada como DarkIRC están enfocando sus esfuerzos en el compromiso de miles de servidores Oracle WebLogic expuestos a través de la explotación de CVE-2020-14882, una vulnerabilidad de ejecución remota de código.
Aunque la falla fue corregida hace unos meses, aún existen miles de instalaciones potencialmente vulnerables. Según escaneos en Shodan, es posible acceder a al menos 3 mil implementaciones de WebLogic de forma remota, por lo que este es un serio incidente.
Los expertos señalan que hay al menos 5 variantes de malware utilizadas para comprometer instalaciones de Oracle WebLogic, aunque el malware usado por DarkIRC se ha convertido en una de las opciones más populares. Este malware puede encontrarse en foros de hacking por alrededor de 75 USD y su venta está asociada a un usuario de dark web identificado como Freak_OG, que ha estado vendiendo este software malicioso desde hace algunos meses.
Método de Operación
El malware es entregado en servidores sin actualizar mediante un script de PowerShell ejecutado a través de una solicitud HTTP GET en forma de binario malicioso capaz de eludir entornos sandbox y mecanismos anti malware. Antes de extraer la carga final, el malware verifica si se está ejecutando en una máquina virtual VMware, VirtualBox, VBox, QEMU o Xen, interrumpiendo el proceso si detecta un entorno aislado.
Una vez descomprimido, el bot DarkIRC se instalará en%APPDATA%\Chrome\Chrome.exe para generar persistencia. DarkIRC también cuenta con múltiples capacidades que incluyen registro de teclas, descarga de archivos y ejecución de comandos en el servidor infectado, robo de credenciales, propagación a otros dispositivos a través de MSSQL, SMB o USB, además del lanzamiento de ataques de denegación de servicio (DDoS).
Los atacantes también pueden usar el bot como un clipper de Bitcoin que les permite cambiar las direcciones de la billetera de Bitcoin copiadas en el portapapeles a una controlada por sus operadores en tiempo real.
Algunos días después de que Oracle corrigió la falla, los cibercriminales comenzaron a buscar instancias expuestas de Oracle WebLogic y comprobar si eran vulnerables a la explotación.
El mes pasado, los atacantes también emprendieron un ataque contra los servidores Oracle WebLogic vulnerables a CVE-2020-14882 para implementar balizas Cobalt Strike que permiten el acceso remoto persistente a servidores comprometidos para recolectar información e implementar cargas útiles de malware de segunda etapa.
Al parecer, el 66% de todos los ataques de ransomware de este trimestre involucraron el marco Cobalt Strike, lo que sugiere que los actores de ransomware confían cada vez más en la herramienta a medida que abandonan los troyanos de productos básicos.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
