安全厂商发现,Oracle WebLogic一项已知高风险漏洞遭僵尸网络病毒积极锁定,更糟的是,其中一只病毒目前已在黑客论坛上兜售。
这项漏洞为存在于WebLogic中的CVE-2020-14882。该漏洞10月已由甲骨文的季度安全更新加以修补,不过随后就有研究人员发现该漏洞已经有来自多个IP的扫描活动,可能已经遭黑客锁定。
而Juniper公司旗下Threat Labs近日利用其诱捕系统发现到,网络上至少出现5种针对CVE-2020-14882的攻击程序。其中一只名为DarkIRC的僵尸网络病毒从今年8月起,已经粘贴黑客论坛,以75美元兜售。
DarkIRC被研究人员点名,是因为它技术相当高明。攻击过程是攻击程序对有漏洞的WebLogic机器发出HTTP GET调用后,由后者下载并执行Powershell script一个二进制档,过程中还会检查是否为VMware、VirtualBox、Vbox、QEMU或Xen等沙箱环境,如果不是才会继续执行,并发布DarkIRC。
DarkIRC发布后会以冒充Chrome的文件名安装为自动执行程序。这只僵尸病毒有相当多功能,包括窃取浏览器cookies、键盘监听、下载文件、执行指令、自动在网络上复制传播、以及分布式拒绝服务(DDoS)攻击。此外它还能窃取比特币,通过变更电子钱包剪贴板中的域名,以便把受害者的数字加密货币导向黑客控制域名的电子钱包。
这次DarkIRC攻击行动背后的操作者,是否就是对外兜售病毒的卖方,还是是从黑客论坛买下它的“客户”,研究人员则不敢断定,不过研究团队利用Shodan搜索工具扫描,发现至少有3,109台WebLogic服务器还没有修补漏洞。一旦这些系统漏洞遭到开采,即可能成为信息外泄、网络攻击及金钱损失的受害者,或成为DDoS攻击的帮凶。