Descripción
Investigadores de una firma de seguridad han detectado la distribución de un nuevo programa malicioso del tipo troyano de acceso remoto (RAT), quien aprovecha la vulnerabilidad presente en Oracle WebLogic, la cual tiene asignada el identificador CVE-2019-2725 (CVSS v3.0 9.8 [Crítico]).
Dicha falla afecta a las versiones 10.3.6.0.0 y 12.1.3.0.0.0 de Oracle Weblogic y puede permitir que un usuario ejecute código de manera remota en el dispositivo afectado, sin requerir autenticación.
De acuerdo con las investigaciones, el programa agrega la carga útil del RAT en el sistema para la descarga y ejecución de este, posteriormente la pieza genera persistencia en el equipo y se conecta al servidor Comando y Control (C&C) del atacante y envía información del equipo, como las características del hardware y configuraciones de red. Finalmente aprovecha el fallo en Oracle Weblogic y le permite al atacante ejecutar código en el dispositivo afectado y así realizar diferentes acciones maliciosas en la red.
A pesar de las funcionalidades que posee en la actualidad este RAT, se considera que aún está en etapa de desarrollo, sin embargo, por las características que tiene, su distribución se la ha atribuido a los desarrolladores de PowerGhost, pieza maliciosa que realiza minado de criptomonedas y que ha afectado a diferentes organizaciones en Brasil, Colombia, India, Turquía, México, Perú y Ecuador.
Nivel de riesgo
- CVSS v3.0: 9.8 [Crítico]
Sistemas/tecnologías afectadas:
- Oracle WebLogic Server 10.3.6.0
- Oracle WebLogic Server 12.1.3.0
Indicadores de compromiso (IoCs)
A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:
- Direcciones IP
- 185[.]234[.]218[.]247
- 185[.]128[.]41[.]90
- MD5
- 48f0de466c907cfb202f006bb0ff0d
0b - 69fbdbabb32747158b215089485dd2
a2 - 1e8247d9f7f3f4fe8f1c097094d7ff
08 - e5cc6c2f8cda8356b93a3b96e9ea83
3e
- 48f0de466c907cfb202f006bb0ff0d
- SHA-1
- fc594723788c545fae34031ab6abe1
e0a727add4 - 26a70988bd873e05018019b4d3ef97
8a08475771 - add4db43896f65d096631bd68aa0d1
889a5ff012 - 5b2275e439f1ffe5d321f0275711a7
480ec2ac90 - e457b6f24ea5d3f2b5242074f806ec
ffad9ab207
- fc594723788c545fae34031ab6abe1
- SHA-256
- e0d1a482b4df92def48cf714584fa4
17ce914b50ee28cc595bbf89bad764 29d1 - 59fa110c24920aacbf668baacadce7
154265c2a3dca01d968f21b568bda2 130b - 371ce879928eb3f35f77bcb8841e90
c5e0257638b67989dc3d025823389b 3f79
- e0d1a482b4df92def48cf714584fa4
- URLs
- hxxp[:]//box[.]conf1g[.]com/l/
sodd/Security[.]Guard - hxxp[:]//box[.]conf1g[.]com/l/
sodd/ver - hxxp[:]//log[.]conf1g[.]com:53
- hxxp[:]//box[.]conf1g[.]com/l/
sodd/Security[.]Script
- hxxp[:]//box[.]conf1g[.]com/l/
- Dominios
- log[.]conf1g[.]com
- box[.]conf1g[.]com
Medidas de contención
- Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
- Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
- Mantener actualizadas las herramientas de antimalware.
Medidas de erradicación
- Aplicar las actualizaciones de seguridad liberadas por Oracle.
Referencias
- https://labs.bitdefender.com/
2020/10/theres-a-new-a-golang- written-rat-in-town/ - https://nvd.nist.gov/vuln/
detail/CVE-2019-2725 - https://www.oracle.com/
security-alerts/alert-cve- 2019-2725.html - https://latam.kaspersky.com/
blog/powerghost-nuevo-minero- de-criptomonedas-apunta-a- redes-corporativas-de-america- latina/13206/