Критическую RCE-уязвимость в Oracle WebLogic атакуют ботоводы DarkIRC

Татьяна Никитина 02 Декабря 2020 - 08:54

Уязвимость нулевого дня

...

Критическую RCE-уязвимость в Oracle WebLogic атакуют ботоводы DarkIRC

Злоумышленники продолжают атаковать серверы WebLogic, пытаясь через эксплойт внедрить в систему свой код. Целевая полезная нагрузка при этом различна, от легитимных инструментов Cobalt Strike и Meterpreter, популярных в криминальных кругах, до вредоносных ботов, из которых наиболее интересен новобранец DarkIRC.

Разбор текущих атак показал, что доставка полезной нагрузки во всех случаях осуществляется с помощью эксплойта CVE-2020-14882. Соответствующую уязвимость удаленного исполнения кода Oracle устранила в конце октября, однако заплатку далеко не все успели установить. Согласно Shodan, в настоящее время в интернете активны около 3 тыс. потенциально уязвимых серверов WebLogic (по состоянию на 1 декабря).

Многофункциональный бот DarkIRC начали активно продвигать на хакерских форумах в минувшем августе. Этот зловред примечателен тем, что отыскивает командный сервер, используя нестандартный алгоритм DGA. В Juniper Networks проанализировали эту функциональность и обнаружили, что генерация С2-доменов осуществляется на основании суммы, переведенной из кошелька Dogecoin операторов зловреда.

Присланное значение хешируется, и в имя домена подставляются первые 14 знаков хеш-кода. Запрос итогового URL возвращает строку json со значением в виде суммы, изъятой из криптокошелька. Таким образом, при потере домена ботоводу достаточно провести новую транзакцию, и боты получат другое имя для обращения. Связь с С2 они поддерживают по IRC-каналу, шифруя свои сообщения путем выполнения операции XOR.

Загрузка и запуск DarkIRC производятся с помощью PowerShell-скрипта. Прежде чем распаковать бинарник, вредонос проверяет окружение на наличие виртуальных машин и песочниц. Обнаружив такую угрозу, он завершает свои процессы и отказывается от дальнейших действий. Если среда благоприятная, целевой код распаковывается и копируется в папку %APPDATA%\Chrome\Chrome.exe. Для обеспечения постоянного присутствия зловред прописывается в системном реестре на автозапуск.

Функциональные возможности DarkIRC разнообразны. Новоявленный бот умеет собирать информацию о зараженной системе, выполнять команды, регистрировать клавиатурный ввод, загружать дополнительные файлы, воровать данные из браузеров и IM-клиента Discord, подменять содержимое буфера обмена (адреса кошельков Bitcoin).

Зловред также может по команде проводить DDoS-атаки прикладного и сетевого уровня (по типу Slowloris и R.U.D.Y или flood — HTTP, TCP, UDP, SYN). Кроме того, он способен распространяться по сети на другие машины — брутфорсом MS SQL и RDP, используя SMB или через USB-флешки.

Следующая главная новость »

Тонкий клиент 2026: как быстро развернуть цифровые рабочие места?
Регистрируйтесь на эфир!

Екатерина Быстрова 05 Марта 2026 - 19:58

Корпорации Сетевая безопасность

Выручка СКБ Контур в 2025 году выросла на 19,6% — до 48,3 млрд рублей

СКБ Контур подвёл итоги 2025 года: выручка выросла на 19,6% и достигла 48,3 млрд рублей по сравнению с 2024-м. Число клиентов, по данным компании, превысило 3,1 млн — это примерно 35% российского бизнеса. Основной вклад в рост, как объясняют в Контуре, дали направления электронного документооборота и обязательной отчётности.

Через Контур.Диадок за год прошло 1,5 млрд документов — это +24,5% год к году. На динамику повлияли и сервисы маркировки, и более активный переход малого бизнеса на ЭДО.

Из заметных событий — Диадок стал первым негосударственным оператором ГосЭДО, в сервисе стартовал публичный пилот Госключа, а также заработал юридически значимый трансграничный ЭДО с Беларусью и Казахстаном.

Отдельно компания выделяет «логистическую» часть ЭДО — просто потому, что скоро она станет обязательной: с 1 сентября 2026 года значительную часть перевозочных документов (включая транспортные накладные) нужно будет переводить в электронный вид. Контур в 2025 году участвовал в подготовке подзаконных актов через ассоциацию «Цифровой транспорт и логистика» и параллельно подключал клиентов к системе.

По Контур.Экстерну тоже рост: объём оборота документов с контролирующими органами увеличился на 15% и превысил 200 млн документов. А у комплексного решения для малого бизнеса (учёт + отчётность + ЭДО) количество подключений, по данным компании, выросло в 1,5 раза.

В кибербезопасности Контур в 2025 году запустил отдельный бренд Контур.Эгида, куда свели решения для защиты «внутреннего контура» компаний — от двухфакторной аутентификации до инструментов привилегированного доступа. Помимо этого, на рынок вышла система для защищённого корпоративного доступа Коннект.

Ещё одна заметная линия — ИИ-функции в продуктах. В ноябре 2025 года в Экстерне появился ИИ-ассистент бухгалтера для работы с налоговым законодательством. В Контур.Фокусе с помощью ИИ сделали краткие пересказы исходов арбитражных дел (чтобы не перечитывать длинные судебные документы), а в Контур.Толке добавили автоматическое определение дипфейков и генерацию протоколов встреч.

Совокупные социальные инвестиции компании, по её данным, выросли на 15%. Контур продолжил образовательные программы — в профориентационных проектах участвовали более 100 тысяч школьников в 38 регионах, а для первокурсников ФИИТ УрФУ в 2025–2026 учебном году появилась новая стипендия.

Тонкий клиент 2026: как быстро развернуть цифровые рабочие места?
Регистрируйтесь на эфир!