Было замечено, что субъекты угрозы, связанные с группой 8220, используют уязвимость Oracle WebLogic Server высокой степени серьезности для распространения своего вредоносного ПО.
Недостатком безопасности является CVE-2020-14883 (оценка CVSS: 7.2), ошибка удаленного выполнения кода, которая может быть использована аутентифицированными злоумышленниками для захвата уязвимых серверов.
"Эта уязвимость позволяет злоумышленникам с удаленной аутентификацией выполнять код с использованием цепочки устройств и обычно связана с CVE-2020-14882 (уязвимость обхода аутентификации, также затрагивающая Oracle Weblogic Server) или использованием просочившихся, украденных или ненадежных учетных данных", - сказал Imperva в отчете, опубликованном на прошлой неделе.
Банда 8220 имеет опыт использования известных недостатков безопасности для распространения вредоносного ПО для криптоджекинга. Ранее в мае этого года группа была замечена в использовании другого недостатка серверов Oracle WebLogic (CVE-2017-3506, оценка CVSS: 7.4) для подключения устройств к ботнету для майнинга криптовалют.
Недавние цепочки атак, задокументированные Imperva, включают использование CVE-2020-14883 для специальной обработки XML-файлов и, в конечном итоге, запуска кода, ответственного за развертывание вредоносных программ для кражи и майнинга монет, таких как Agent Tesla, rhajk и nasqa.
"Группа, по-видимому, оппортунистична при выборе своих целей, без четкой тенденции в стране или отрасли", - сказал исследователь безопасности Imperva Дэниел Джонстон.
Целями кампании являются сектора здравоохранения, телекоммуникаций и финансовых услуг в США, Южной Африке, Испании, Колумбии и Мексике.
"Группа полагается на простые общедоступные эксплойты, нацеленные на хорошо известные уязвимости, и использует простые цели для достижения своих целей", - добавил Джонстон. "Несмотря на то, что они считаются неискушенными, они постоянно совершенствуют свою тактику и методы уклонения от обнаружения".
Недостатком безопасности является CVE-2020-14883 (оценка CVSS: 7.2), ошибка удаленного выполнения кода, которая может быть использована аутентифицированными злоумышленниками для захвата уязвимых серверов.
"Эта уязвимость позволяет злоумышленникам с удаленной аутентификацией выполнять код с использованием цепочки устройств и обычно связана с CVE-2020-14882 (уязвимость обхода аутентификации, также затрагивающая Oracle Weblogic Server) или использованием просочившихся, украденных или ненадежных учетных данных", - сказал Imperva в отчете, опубликованном на прошлой неделе.
Банда 8220 имеет опыт использования известных недостатков безопасности для распространения вредоносного ПО для криптоджекинга. Ранее в мае этого года группа была замечена в использовании другого недостатка серверов Oracle WebLogic (CVE-2017-3506, оценка CVSS: 7.4) для подключения устройств к ботнету для майнинга криптовалют.
Недавние цепочки атак, задокументированные Imperva, включают использование CVE-2020-14883 для специальной обработки XML-файлов и, в конечном итоге, запуска кода, ответственного за развертывание вредоносных программ для кражи и майнинга монет, таких как Agent Tesla, rhajk и nasqa.
"Группа, по-видимому, оппортунистична при выборе своих целей, без четкой тенденции в стране или отрасли", - сказал исследователь безопасности Imperva Дэниел Джонстон.
Целями кампании являются сектора здравоохранения, телекоммуникаций и финансовых услуг в США, Южной Африке, Испании, Колумбии и Мексике.
"Группа полагается на простые общедоступные эксплойты, нацеленные на хорошо известные уязвимости, и использует простые цели для достижения своих целей", - добавил Джонстон. "Несмотря на то, что они считаются неискушенными, они постоянно совершенствуют свою тактику и методы уклонения от обнаружения".
