有的網絡攻擊組織喜歡極具攻擊力的0-Day漏洞,但也有的組織更愿意在那些已經公開的漏洞上下功夫,針對那些未能打好補丁的目標,不斷優化策略和技術來逃避安全檢測,從而最終實現入侵。
近日,Imperva發布安全公告稱,觀察到8220組織正在利用甲骨文 WebLogic 服務器中的一個高嚴重性漏洞來傳播他們的惡意軟件。該漏洞編號 CVE-2020-14883(CVSS 評分:7.2),是一個遠程代碼執行漏洞,常被攻擊者利用來繞過服務器認證。
Imperva安全人員分析指出,漏洞允許遠程認證的攻擊者使用小工具鏈執行代碼,并且通常和泄露、被盜或弱密碼結合使用,能夠很順利地繞過。
事實上,8220組織經常利用已知/已公開的安全漏洞來傳播挖坑惡意軟件。2023年5月,該組織利用甲骨文 WebLogic 服務器的另一個漏洞(CVE-2017-3506,CVSS 評分:7.4),成功將大量安設備納入加密挖礦僵尸網絡。
Imperva 記錄的最近攻擊鏈包括利用 CVE-2020-14883 來特別制作 XML 文件,并最終運行負責部署竊取者和貨幣挖礦惡意軟件(如 Agent Tesla、rhajk 和 nasqa)的代碼。該活動的目標包括美國、南非、西班牙、哥倫比亞和墨西哥的醫療保健、電信和金融服務部門。
Imperva 安全分析人員指出,依靠簡單、公開、可用的漏洞來傳播惡意軟件是他們的一貫做法,雖然整個攻擊過程不復雜,但是他們也在不斷演進攻擊策略和技術,結合那些眾所周知的漏洞,往往可以獲得成功。
8220組織又名“8220挖礦組”,因其使用8220端口進行指揮與控制或C&C通信交換而得名,自2017年以來一直活躍,持續掃描云和容器環境中的易受攻擊應用程序。研究人員記錄了這個團伙針對甲骨文WebLogic、Apache Log4j、Atlassian Confluence漏洞以及配置不當的Docker容器,以在linux和Microsoft windows主機上部署加密貨幣礦工。該團伙被記錄使用了海嘯惡意軟件、XMRIG加密挖礦程序、masscan和spirit等工具進行他們的活動。
在誘餌系統捕獲的一次近期攻擊,該攻擊利用了甲骨文WebLogic漏洞CVE-2017-3506。這個漏洞的CVSS評分為7.4,影響甲骨文WebLogic的WLS安全組件,一旦被利用,攻擊者可以通過特制的XML文檔遠程通過HTTP請求執行任意命令。這允許攻擊者未經授權地訪問敏感數據或危害整個系統。
參考鏈接:https://thehackernews.com/2023/12/8220-gang-exploiting-oracle-weblogic.html
