ГлавнаябезопасностьБотнет DarkIRC: использует уязвимости в серверах Oracle WebLogic!

Ботнет DarkIRC: использует уязвимости в серверах Oracle WebLogic!

Исследователи безопасности говорят, что ботнет DarkIRC в настоящее время нацелен на тысячи уязвимых серверов Oracle WebLogic, используя уязвимости. CVE-2020-14882. хакерам может воспользоваться этой уязвимостью и получить полный контроль над системой, отправив простой HTTP-запрос GET. Уязвимость была оценена как критическая, получив оценку серьезности 9,8 из 10, при этом затрагивая версии 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 и 14.1.1.0 Oracle WebLogic Server.

Уязвимость была обнаружена исследователем безопасности "Voidfyoo" из Chaitin Security Research Lab. В соответствии с Shodan, 2.973 сервера Oracle WebLogic представлены в Интернет потенциально уязвимы для удаленных нападки используя эту уязвимость. Большинство из них системы расположены по адресу Китай (829), за которым следует США (526) и Иран (369).

Ботнет DarkIRC: использует уязвимости в серверах Oracle WebLogic!

Кроме того, исследователи Juniper Threat Labs наблюдали как минимум пять различных вариантов вредоносных программ. Одна из полезных нагрузок, которые, как заметили исследователи, нацелены на серверы Oracle WebLogic, - это DarkIRC. вредоносных программ в настоящее время продается на хакерских форумах по цене 75 долларов.

В поисках киберпреступников, стоящих за этой угрозой, исследователи обнаружили учетную запись в Взломать форумы с именем «Freak_OG» Ботнет DarkIRC рекламируется с августа 2020 года. Однако неясно, стоит ли Freak_OG за недавней волной атак.

Злоумышленники отправили HTTP-запрос GET на уязвимый сервер WebLogic, который запустил сценарий PowerShell для загрузки и запуска двоичного файла, размещенного на cnc [.] C25e6559668942 [.] Xyz.

Ботнет DarkIRC: использует уязвимости в серверах Oracle WebLogic!

Операторы ботнета DarkIRC использовали шифрование, чтобы избежать обнаружения. Дополнительно вредоносная программа реализует функцию Bitcoin clipper для взлома транзакций биткойнов в зараженной системе, изменяя адрес биткойн-кошелька, который был скопирован на адрес биткойн-кошелька оператора вредоносной программы.

В октябре исследователи безопасности из Технологического института SANS создали коллекцию приманок что позволило им обнаружить серию атак вскоре после публикации кода эксплойта для уязвимости CVE-2020-14882. Также в начале ноября минимум один вымогателей gang воспользовалась уязвимостью CVE-2020-14882, которая затрагивает серверы Oracle WebLogic.

Наконец, CISA рекомендует администраторам применить обновление безопасности для защиты своих серверов.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Pohackontas
Pohackontashttps://www.secnews.gr
Каждое достижение начинается с решения попробовать.
spot_img

ЖИВЫЕ НОВОСТИ