Cacat Kerentanan WebLogic Oracle Kritis Dieksploitasi Secara Aktif

  • Whatsapp
Kerentanan Oracle WebLogic

Peneliti Juniper Threat Labs mengamati serangan aktif pada perangkat lunak Oracle WebLogic menggunakan CVE-2020-14882. Kerentanan ini, jika berhasil dieksploitasi, memungkinkan eksekusi kode jarak jauh yang tidak diautentikasi.

Peneliti menemukan hampir 3.109 server Oracle WebLogic terbuka menggunakan Shodan. Minimal lima varian serangan/muatan yang berbeda. Satu payload tertentu menginstal bot bernama DarkIRC.

Bot ini melakukan perintah unik dan mengontrol algoritme pembuatan domain yang bergantung pada nilai yang dikirim dari dompet crypto tertentu. Bot ini saat ini sedang dijual di forum hack seharga $75USD.

Buka server web logika di internet

DarkIRC

Serangan mengeluarkan permintaan GET HTTP ke server WebLogic yang rentan, yang akan mengeksekusi skrip Powershell untuk mengunduh dan mengeksekusi file biner yang dihosting di cnc[.]c25e6559668942[.]xyz

Versi DarkIRC

IP sumbernya adalah 83.97.20.90. IP ini ditetapkan ke C&C bot ini yang menyiratkan bahwa IP penyerang mirip dengan C&C.

Crypter

Penulis DarkIRC menggunakan crypter untuk menghindari deteksi, itu termasuk fitur anti-analisis dan anti-kotak pasir. Malware juga mencoba mendeteksi jika berjalan di lingkungan virtual seperti VMware, VirtualBox, VBox, QEMU, atau mesin virtual Xen.

Jika tidak terdeteksi, itu akan memuat file terenkripsi di sumber dayanya. Setelah dibongkar, kita bisa melihat apa yang ingin dilakukan oleh malware ini berdasarkan nama fungsinya.

Fungsi Bot

Bot menginstal dirinya sendiri di %APPDATA%\Chrome\Chrome.exe dan membuat entri autorun. Fungsinya adalah:

  • Pencuri Peramban
  • Keylogging
  • Pemotong Bitcoin
  • DDoS
  • Worm atau menyebar sendiri dalam jaringan
  • Unduh File
  • Jalankan Perintah

Malware mengimplementasikan a Pemotong Bitcoin fitur untuk membajak transaksi bitcoin pada sistem yang terinfeksi dengan mengubah alamat dompet bitcoin yang disalin menjadi alamat dompet bitcoin operator malware. Itu terhubung ke Command and Control melalui IRC dengan enkripsi tambahan enkripsi XOR.

Command and Control DGA menghasilkan domain, berdasarkan nilai dompet dogecoin tertentu. Itu mencirikan nilai yang dikirim dari dompet dan mendapatkan 14 karakter pertama dari hash untuk menyelesaikan domain C&C.

Akun di Forum Hack

Mencari operator di balik ancaman ini, para peneliti menemukan akun di Forum Hack yang online dengan nama Freak_OG yang mengiklankan botnet sejak Agustus 2020.

Iklan aktor ancaman di forum peretasan

Salah satu cara tercepat untuk menjadikan penyerang sebagai korban adalah dengan menggunakan eksploitasi zero-day dan menyerang internet, biasanya melalui teknik spray-and-pray.

Kerentanan ini telah diperbaiki oleh Oracle pada bulan Oktober dan patch keluar dari siklus berikutnya juga dirilis pada bulan November untuk memperbaiki lubang di patch sebelumnya. Disarankan untuk segera menambal sistem yang terpengaruh.

Anda dapat mengikuti kami di Linkedin, Twitter, Facebook untuk Cybersecurity harian dan pembaruan berita peretasan.

Baca juga

Peretas Menyerang Server WebLogic melalui Cacat CVE-2020–14882 untuk menginstal Cobalt Strike Malware

Oracle Mengeluarkan Patch Darurat untuk Kerentanan Eksekusi Kode Jarak Jauh di Oracle WebLogic Server

Oracle Memperingatkan Eksploitasi Aktif dari Cacat RCE WebLogic yang Baru Ditambal

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *