2023年12月19日消息,已观察到与 8220 团伙相关的威胁行为者利用 Oracle WebLogic Server 中的高严重性漏洞来传播其恶意软件。
安全缺陷是 CVE-2020-14883(CVSS 分数:7.2),这是一个远程代码执行错误,经过身份验证的攻击者可能会利用该漏洞来接管易受攻击的服务器。
Imperva在上周发表的一份报告中说:“这个漏洞允许经过身份验证的远程攻击者使用小工具链执行代码,并且通常与CVE-2020-14882(一个身份验证绕过漏洞,也影响Oracle Weblogic Server)或使用泄露、被盗或弱凭据相关联。
8220 团伙有利用已知安全漏洞分发加密劫持恶意软件的历史。今年 5 月初,该组织被发现利用 Oracle WebLogic 服务器的另一个缺点(CVE-2017-3506,CVSS 评分:7.4)将设备连接到加密挖矿僵尸网络中。
Imperva 最近记录的攻击链需要利用 CVE-2020-14883 专门制作 XML 文件,并最终运行负责部署窃取程序和硬币挖掘恶意软件(如 Agent Tesla、rhajk 和 nasqa)的代码。
“该组织在选择目标时似乎是机会主义的,在国家或行业没有明确的趋势,”Imperva安全研究员Daniel Johnston说。
该活动的目标包括美国、南非、西班牙、哥伦比亚和墨西哥的医疗保健、电信和金融服务行业。
“该组织依靠简单的、公开可用的漏洞来针对众所周知的漏洞,并利用简单的目标来实现他们的目标,”约翰斯顿补充道。“虽然被认为并不复杂,但他们在不断改进他们的战术和技术来逃避检测。
文章来源:https://thehackernews.com/2023/12/8220-gang-exploiting-oracle-weblogic.html