8220 团伙利用 Oracle WebLogic Server 漏洞传播恶意软件

2023年 12月 19日 51.7k 0

2023年12月19日消息,已观察到与 8220 团伙相关的威胁行为者利用 Oracle WebLogic Server 中的高严重性漏洞来传播其恶意软件。

安全缺陷是 CVE-2020-14883(CVSS 分数:7.2),这是一个远程代码执行错误,经过身份验证的攻击者可能会利用该漏洞来接管易受攻击的服务器。

Imperva在上周发表的一份报告中说:“这个漏洞允许经过身份验证的远程攻击者使用小工具链执行代码,并且通常与CVE-2020-14882(一个身份验证绕过漏洞,也影响Oracle Weblogic Server)或使用泄露、被盗或弱凭据相关联。

8220 团伙有利用已知安全漏洞分发加密劫持恶意软件的历史。今年 5 月初,该组织被发现利用 Oracle WebLogic 服务器的另一个缺点(CVE-2017-3506,CVSS 评分:7.4)将设备连接到加密挖矿僵尸网络中。

Imperva 最近记录的攻击链需要利用 CVE-2020-14883 专门制作 XML 文件,并最终运行负责部署窃取程序和硬币挖掘恶意软件(如 Agent Tesla、rhajk 和 nasqa)的代码。

“该组织在选择目标时似乎是机会主义的,在国家或行业没有明确的趋势,”Imperva安全研究员Daniel Johnston说。

该活动的目标包括美国、南非、西班牙、哥伦比亚和墨西哥的医疗保健、电信和金融服务行业。

“该组织依靠简单的、公开可用的漏洞来针对众所周知的漏洞,并利用简单的目标来实现他们的目标,”约翰斯顿补充道。“虽然被认为并不复杂,但他们在不断改进他们的战术和技术来逃避检测。

文章来源:https://thehackernews.com/2023/12/8220-gang-exploiting-oracle-weblogic.html

相关文章

Oracle如何使用授予和撤销权限的语法和示例
Awesome Project: 探索 MatrixOrigin 云原生分布式数据库
下载丨66页PDF,云和恩墨技术通讯(2024年7月刊)
社区版oceanbase安装
Oracle 导出CSV工具-sqluldr2
ETL数据集成丨快速将MySQL数据迁移至Doris数据库

发布评论