Ερευνητές ασφαλείας δήλωσαν ότι το DarkIRC botnet στοχεύει επί του παρόντος χιλιάδες εκτεθειμένους Oracle WebLogic servers, μέσω της εκμετάλλευσης της ευπάθειας CVE-2020-14882. Χάκερς μπορούν να εκμεταλλευτούν την εν λόγω ευπάθεια και να αναλάβουν τον πλήρη έλεγχο ενός συστήματος, στέλνοντας ένα απλό αίτημα HTTP GET. Η ευπάθεια έχει αξιολογηθεί ως κρίσιμη, λαμβάνοντας βαθμολογία σοβαρότητας 9,8 στα 10, ενώ επηρεάζει τις εκδόσεις 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 και 14.1.1.0 Oracle WebLogic Server.
Η ευπάθεια ανακαλύφθηκε από τον ερευνητή ασφαλείας “Voidfyoo” του Chaitin Security Research Lab. Σύμφωνα με το Shodan, 2.973 Oracle WebLogic servers που εκτίθενται στο διαδίκτυο είναι δυνητικά ευάλωτοι σε απομακρυσμένες επιθέσεις που εκμεταλλεύονται τη συγκεκριμένη ευπάθεια. Τα περισσότερα από αυτά τα συστήματα βρίσκονται στην Κίνα (829), ενώ ακολουθούν οι ΗΠΑ (526) και το Ιράν (369).
Επιπλέον, οι ερευνητές του Juniper Threat Labs παρατήρησαν τουλάχιστον πέντε διαφορετικές παραλλαγές κακόβουλων payloads. Ένα από τα payloads που παρατήρησαν οι ερευνητές ότι στοχεύουν τους Oracle WebLogic servers είναι το DarkIRC malware που πωλείται επί του παρόντος σε hacking φόρουμ, στην τιμή των 75$.
Αναζητώντας τους κυβερνοεγκληματίες που βρίσκονται πίσω από αυτήν την απειλή, οι ερευνητές ανακάλυψαν έναν λογαριασμό στο Hack Forums με το όνομα “Freak_OG” που διαφημίζει το DarkIRC botnet από τον Αύγουστο του 2020. Ωστόσο, δεν είναι σαφές εάν ο Freak_OG είναι αυτός που βρίσκεται πίσω από το πρόσφατο κύμα επιθέσεων.
Οι εισβολείς έστειλαν αίτημα HTTP GET σε έναν ευάλωτο WebLogic server, που εκτέλεσε PowerShell script για λήψη και εκτέλεση ενός δυαδικού αρχείου που φιλοξενείται στο cnc [.] C25e6559668942 [.] Xyz.
Οι χειριστές του DarkIRC botnet χρησιμοποίησαν κρυπτογράφηση για να αποφύγουν τον εντοπισμό. Επιπλέον, το malware εφαρμόζει μια λειτουργία Bitcoin clipper για να χακάρει συναλλαγές Bitcoin στο μολυσμένο σύστημα, αλλάζοντας τη διεύθυνση του Bitcoin wallet που έχει αντιγραφεί στη διεύθυνση Bitcoin wallet του χειριστή του malware.
Τον Οκτώβριο, ερευνητές ασφαλείας του SANS Technology Institute δημιούργησαν μια συλλογή από honeypots που τους επέτρεψε να εντοπίσουν μια σειρά επιθέσεων λίγο μετά τη δημοσίευση του exploit code για την ευπάθεια CVE-2020-14882. Επίσης, στις αρχές Νοεμβρίου, τουλάχιστον μία ransomware συμμορία εκμεταλλεύτηκε την ευπάθεια CVE-2020-14882 που επηρεάζει Oracle WebLogic servers.
Τέλος, η CISA συνιστά στους διαχειριστές να εφαρμόσουν την ενημερωμένη έκδοση ασφαλείας για να διασφαλίσουν τους servers τους.
