La botnet DarkIRC persigue explotar servidores Oracle WebLogic vulnerables
Los investigadores de Juniper Threat Labs han notificado hasta 5 tipos de ciberataques contra más de 3000 servidores Oracle WebLogic expuestos, entre los que destaca una botnet denominada DarkIRC.
El objetivo de los cibercriminales es explotar la vulnerabilidad identificada por CVE-2020-14882, ya reportada por el investigador Voidfyoo de Chaitin Security Research Lab y parcheada en las actualizaciones críticas de Oracle de octubre del 2020.
La botnet en cuestión realiza un algoritmo de generación de dominio de control y comando (C&C) único que se basa en el valor enviado de una billetera criptográfica en particular. Actualmente, DarkIRC se está vendiendo en foros clandestinos por $75 USD.
El malware incluye capacidades como: actuar como keylogger, descargar archivos y ejecutar comandos en el servidor infectado, robar credenciales, propagarse a otros dispositivos a través de los comandos MSSQL y RDP (en ambos casos por fuerza bruta), SMB o USB, así como realizar ataques DDoS y robar transacciones bitcoin en el sistema infectado, mediante la implementación de un clipper que cambia la dirección de la cartera de bitcoin copiada a la dirección de la cartera de bitcoin del operador del malware.
Referencias:
- 01/12/2020 blogs.juniper.net DarkIRC bot exploits recent Oracle WebLogic vulnerability
- 10/11/2020 incibe-cert.es Vulnerabilidad en Oracle WebLogic Server afecta a Sistemas de Control Industrial
- 01/12/2020 bleepingcomputer.com Critical Oracle WebLogic flaw actively exploited by DarkIRC malware
- 01/12/2020 noticiasseguridad.com Falla crítica en oracle weblogic explotada activamente por el malware darkirc
- 03/12/2020 bankinfosecurity.com DarkIRC Botnet Exploiting Oracle WebLogic Vulnerability