Группа 8220 активирует 'цифровую бомбу' в Oracle WebLogic Server

Исследователи компании Imperva зафиксировали активность группировки 8220, эксплуатирующей опасную уязвимость в Oracle WebLogic Server для распространения своего вредоносного программного обеспечения.

Речь идёт о CVE-2020-14883 (оценка CVSS 7.2), представляющей собой уязвимость выполнения удалённого кода (RCE), которую аутентифицированные злоумышленники могут использовать для захвата уязвимых серверов.

«Эта уязвимость позволяет удалённым аутентифицированным атакующим выполнять код с помощью цепочки гаджетов и часто связывается с CVE-2020-14882 (уязвимостью обхода аутентификации, также затрагивающей Oracle WebLogic Server) или использованием утечек, украденных или слабых учётных данных», — говорится в отчёте Imperva.

Группировка 8220 уже имеет опыт использования известных уязвимостей безопасности для распространения вредоносного ПО с целью криптоджекинга. В мае этого года они использовали другую уязвимость серверов Oracle WebLogic ( CVE-2017-3506 , оценка CVSS 7.4) для добавления устройств в ботнет для майнинга криптовалюты.

Недавние цепочки атак, задокументированные Imperva, включают использование CVE-2020-14883 для создания специально подготовленных XML-файлов и последующего запуска кода, отвечающего за развёртывание вредоносного ПО для кражи данных и майнинга криптовалюты, такого как Agent Tesla, rhajk и nasqa.

«Складывается ощущение, что группа действует несистемно, без явной тенденции в выборе страны или отрасли», — отметил исследователь безопасности из Imperva Даниэль Джонстон.

Целями вредоносной кампании 8220 уже стали сектора здравоохранения, телекоммуникаций и финансовых услуг в США, Южной Африке, Испании, Колумбии и Мексике.

«Группа полагается на простые, общедоступные эксплойты для атак на известные уязвимости и достижения своих интересов», — добавил Джонстон. «Несмотря на то, что их методы считаются несложными, они постоянно эволюционируют в своих тактиках и техниках, чтобы избежать обнаружения».