Исследователи компании Imperva зафиксировалиактивность группировки 8220, эксплуатирующей уязвимость высокой степени серьёзности в Oracle WebLogic Server для распространения своего вредоносного программного обеспечения.
Речь идёт о CVE-2020-14883(оценка CVSS 7.2), представляющей собой уязвимость выполнения удалённого кода (RCE), которую аутентифицированные злоумышленники могут использовать для захвата уязвимых серверов.
“Эта уязвимость позволяет удалённым аутентифицированным атакующим выполнять код с помощью цепочки гаджетов и часто связывается с CVE-2020-14882(уязвимостью обхода аутентификации, также затрагивающей Oracle WebLogic Server) или использованием утечек, украденных или слабых учётных данных”, – говорится в отчёте Imperva.
Группировка 8220 уже имеет опыт использования известных уязвимостей безопасности для распространения вредоносного ПО с целью криптоджекинга. В мае этого года они использовали другую уязвимость серверов Oracle WebLogic ( CVE-2017-3506 , оценка CVSS 7.4) для добавления устройств в ботнет для майнинга криптовалюты.
Недавние цепочки атак, задокументированные Imperva, включают использование CVE-2020-14883 для создания специально подготовленных XML-файлов и последующего запуска кода, отвечающего за развёртывание вредоносного ПО для кражи данных и майнинга криптовалюты, такого как Agent Tesla, rhajk и nasqa.
“Складывается ощущение, что группа действует несистемно, без явной тенденции в выборе страны или отрасли”, – отметил исследователь безопасности из Imperva Даниэль Джонстон.
Целями вредоносной кампании 8220 уже стали сектора здравоохранения, телекоммуникаций и финансовых услуг в США, Южной Африке, Испании, Колумбии и Мексике.
“Группа полагается на простые, общедоступные эксплойты для атаки на известные уязвимости”, – добавил Джонстон. “Несмотря на то, что их методы считаются несложными, они постоянно эволюционируют в своих тактиках и техниках, чтобы избежать обнаружения”.