Критическую RCE-уязвимость в Oracle WebLogic атакуют ботоводы DarkIRC

Критическую RCE-уязвимость в Oracle WebLogic атакуют ботоводы DarkIRC

Критическую RCE-уязвимость в Oracle WebLogic атакуют ботоводы DarkIRC

Злоумышленники продолжают атаковать серверы WebLogic, пытаясь через эксплойт внедрить в систему свой код. Целевая полезная нагрузка при этом различна, от легитимных инструментов Cobalt Strike и Meterpreter, популярных в криминальных кругах, до вредоносных ботов, из которых наиболее интересен новобранец DarkIRC.

Разбор текущих атак показал, что доставка полезной нагрузки во всех случаях осуществляется с помощью эксплойта CVE-2020-14882. Соответствующую уязвимость удаленного исполнения кода Oracle устранила в конце октября, однако заплатку далеко не все успели установить. Согласно Shodan, в настоящее время в интернете активны около 3 тыс. потенциально уязвимых серверов WebLogic (по состоянию на 1 декабря).

Многофункциональный бот DarkIRC начали активно продвигать на хакерских форумах в минувшем августе. Этот зловред примечателен тем, что отыскивает командный сервер, используя нестандартный алгоритм DGA. В Juniper Networks проанализировали эту функциональность и обнаружили, что генерация С2-доменов осуществляется на основании суммы, переведенной из кошелька Dogecoin операторов зловреда.

Присланное значение хешируется, и в имя домена подставляются первые 14 знаков хеш-кода. Запрос итогового URL возвращает строку json со значением в виде суммы, изъятой из криптокошелька. Таким образом, при потере домена ботоводу достаточно провести новую транзакцию, и боты получат другое имя для обращения. Связь с С2 они поддерживают по IRC-каналу, шифруя свои сообщения путем выполнения операции XOR.

Загрузка и запуск DarkIRC производятся с помощью PowerShell-скрипта. Прежде чем распаковать бинарник, вредонос проверяет окружение на наличие виртуальных машин и песочниц. Обнаружив такую угрозу, он завершает свои процессы и отказывается от дальнейших действий. Если среда благоприятная, целевой код распаковывается и копируется в папку %APPDATA%\Chrome\Chrome.exe. Для обеспечения постоянного присутствия зловред прописывается в системном реестре на автозапуск.

Функциональные возможности DarkIRC разнообразны. Новоявленный бот умеет собирать информацию о зараженной системе, выполнять команды, регистрировать клавиатурный ввод, загружать дополнительные файлы, воровать данные из браузеров и IM-клиента Discord, подменять содержимое буфера обмена (адреса кошельков Bitcoin).

Зловред также может по команде проводить DDoS-атаки прикладного и сетевого уровня (по типу Slowloris и R.U.D.Y или flood — HTTP, TCP, UDP, SYN). Кроме того, он способен распространяться по сети на другие машины — брутфорсом MS SQL и RDP, используя SMB или через USB-флешки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Firefox 141 появился локальный ИИ и меньше «прожорливости» на Linux

Mozilla выкатила свежую версию Firefox — 141.0. Обновление не глобальное, но полезные мелочи в нём всё же есть. Самое заметное — это встроенный искусственный интеллект, который помогает наводить порядок во вкладках.

Теперь, если вы решите сгруппировать несколько вкладок, Firefox сам предложит название группы — и делает это довольно логично.

Главное — все работает локально: никакие данные на сервер не улетают, так что с приватностью всё в порядке. Правда, фича пока появляется у пользователей постепенно, так что может и не сразу отобразиться.

Для тех, кто пользуется вертикальными вкладками, сделали удобную мелочь: можно вручную подвигать горизонтальную границу внизу боковой панели. Это помогает, если нижняя часть начинает съезжать или загромождаться — теперь всё регулируется под себя.

На Linux «лиса» теперь ест меньше памяти — оптимизировали работу с ОЗУ, снизили энергопотребление. А ещё теперь не нужно перезапускать браузер после обновления через пакетный менеджер — можно сразу продолжать работу.

А вот на Windows в Firefox добавили поддержку WebGPU — это такая штука, которая позволяет приложениям в браузере напрямую работать с видеокартой. Особенно это пригодится в играх и всяких тяжёлых визуализациях.

Ну и по традиции: вместе с этим обновлением Mozilla выпустила ещё и Firefox ESR 140.1 и 128.13 — это для тех, кто пользуется долгосрочной стабильной версией с поддержкой и фиксом багов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru