Дайджест Jet CSIRT [03.12.2020]

03.12.2020

Серверы Oracle WebLogic атакованы ботнетом DarkIRC

Специалисты Juniper Threat Labs сообщают об атаках ботнетом DarkIRC серверов Oracle WebLogic через уязвимость удаленного выполнения кода (CVE-2020-14882). ВПО доставляется на жертву с помощью скриптов PowerShell, через HTTP GET-запросы. Полезная нагрузка представлена в виде двоичного кода с функциями обхода средств контент-анализа и песочниц. DarkIRC имеет в своём арсенале функции: кейлоггинг, загрузка файлов и выполнение команд, хищение учетных данных, распространение через MSSQL и RDP (брутфорс), SMB или USB, а также запуск нескольких типов DDoS-атак.


Обнаружен новый Linux-ботнет

Исследователи Cisco Talos рассказали о новом Linux-ботнете Xanthe, распространяющимся в основном через Docker API.

Зловред имеет модульную структуру. Основным компонентом является xanthe.sh, который отвечает за распространение и за докачку остальных четырех модулей, которые отвечают за: скрытие процессов бота, отключение сторонних майнеров и служб защиты, создание пользователей, завершение процессов других троянских программ и майнинг. В настоящее время, Xanthe используется для майнига криптовалюты Monero. Именно по этой причине, одним из загружаемых модулей является криптомайнер XMRig.


Новый модуль TrickBot ищет уязвимости в UEFI

 

Специалисты из Advanced Intelligence (AdvIntel) и Eclypsium опубликовали отчет о новом модуле ботнета TrickBot, который выискивает уязвимости в UEFI прошивке зараженного устройства. Имея доступ к прошивке UEFI, злоумышленник может добиться персистентности ВПО на скомпрометированном устройстве  для защиты в случаях переустановки операционной системы или замены накопителей. Модуль проверяет активность защиты от записи UEFI/BIOS с помощью драйвера RwDrv.sys.