За даними Shodan, в цей час через інтернет доступні три тисячі Серверів Oracle WebLogic. Як повідомляють фахівці Juniper Threat Labs, кіберзлочинці атакують потенційно уразливі сервери Oracle WebLogic за допомогою як мінімум п’яти різних зразків шкідливого ПЗ. Однак найбільший інтерес для дослідників представляє шкідливе ПО DarkIRC, яке можна купити на хакерському форумі всього за $ 75.

Ботнет використовує уразливість віддаленого виконання коду CVE-2020-14882, виправлену компанією Oracle два місяці тому.

Шкідливе ПЗ доставляється на атаковані сервери за допомогою скриптів PowerShell, що виконуються через HTTP GET-запити. Корисне навантаження представлене ​​у вигляді двійкового коду з функціями обходу засобів аналізу і пісочниці. Крім іншого, перед розархівацією шкідливе ПЗ перевіряє, чи не буде воно запущене на віртуальній машині VMware, VirtualBox, VBox, QEMU або Xen, і при наявності середовища пісочниці процес запуску DarkIRC не розпочинається.

DarkIRC має безліч функцій, в тому числі функції кейлогінгу, завантаження файлів і виконання команд на зараженому сервері, крадіжкою облікових даних, поширенням на інші пристрої через MSSQL і RDP (брутфорс), SMB або USB, а також запуску декількох версії DDoS-атак.

Зловмисники також можуть використовувати бот як біткойн-кліпер, що дозволяє їм в реальному часі змінювати адреси біткойн-гаманців, скопійовані в буфер обміну, на підконтрольні їм адреси.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ

Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ

Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС

Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ

Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ

До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.

Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.

Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.

У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.

П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.

Ця стаття Тисячі серверів Oracle атакує багатофункціональне шкідливе ПЗ раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Фахівці KnownSec 404 виявили уразливість в серверах Oracle WebLogic, до якої вже активно проявляють інтерес зловмисники. Проблема зачіпає компоненти WLS9_ASYNC і WLS-WSAT – перший додає підтримку асинхронних операцій, другий служить для забезпечення безпеки.

Йдеться про уразливість десеріалізації, за допомогою якої атакуючий може віддалено домогтися виконання коду і перехопити контроль над цільовою системою. Проблема може бути проексплуатована неавторизованим атакуючим шляхом відправлення спеціально сформованого HTTP-запиту. Уразливими є версії WebLogic 10.x і WebLogic 12.1.3.

Компанії Oracle вже відомо про проблему, однак, з огляду на практику виробника випускати оновлення безпеки раз на квартал та те, що Oracle вже представила планові оновлення, патч слід чекати не раніше липня.

Для запобігання атак експерти рекомендують або видалити уразливі компоненти і перезапустити сервери, або встановити налаштування брандмауера, що запобігають доступу до URL “/ _async / *” і “/ wls-wsat / *” в налаштуваннях Oracle WebLogic.

За даними низки експертів, кіберзлочинці поки тільки проводять сканування у пошуках уразливих серверів WebLogic і використовують прості експлойти для її тестування, проте організація повномасштабних атак – тільки питання часу. Наразі у Мережі присутні понад 36 тис. уразливих серверів WebLogic.

Нагадаємо, що компанія Google випустила стабільну збірку Chrome 74, де були виправлені 39 уразливостей. Про 19 з них виробнику повідомили сторонні дослідники.

До речі, спектр програм для покращення безпеки Android-смартфона надзвичайно широкий. Більшість з них — легкі у використанні та не займають багато місця. Пропонуємо Вам ознайомитися із 10 кращими програмами.

Сьогодні велика кількість компаній має робочі мобільні пристрої, які використовуються співробітниками в особистих цілях, що часто призводить до витоку конфіденційних даних підприємств. Тому мобільні девайси бізнес-організацій є найпривабливішими для кіберзлочинців і потребують захисту в першу чергу.

Також у новому флагманському смартфоні Nokia 9 PureView виявлена серйозна проблема безпеки, пов’язана зі сканером відбитків пальців.

Ця стаття Кібератаки на сервери Oracle: експерти рекомендують видалити уразливі компоненти раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин