Imperva Tehdit Araştırma ekibi, 8220 çetesinin kötü amaçlı yazılım dağıtmak için eski bir Oracle WebLogic Server güvenlik açığından (CVE-2020-14883) yararlandığını tespit etti.
8220 hakkında
2017’den bu yana aktif olan 8220 çetesinin, bilinen güvenlik açıklarından yararlanarak Linux ve Windows ana bilgisayarlarına kripto para birimi madencileri yerleştirmesiyle tanınıyor.
“Grup, iyi bilinen güvenlik açıklarını hedeflemek ve hedeflerine ulaşmak için kolay hedeflerden yararlanmak için basit, kamuya açık istismarlara güveniyor. Imperva’nın güvenlik analisti Daniel Johnston, “Gelişmemiş oldukları düşünülse de, tespit edilmekten kaçınmak için sürekli olarak taktik ve tekniklerini geliştiriyorlar” dedi.
Bu yılın başlarında Trend Micro araştırmacıları, 8220’nin, hedeflenen sistemlerin kontrolünü ele geçirmek ve kripto madencileri kurmak için Oracle Fusion Middleware’in Oracle WebLogic Server bileşenindeki bir başka kritik güvenlik açığı olan CVE-2017-3506’dan yararlandığını ortaya çıkardı.
CVE-2020-14883’ten yararlanma
Ekip bu sefer Oracle WebLogic Server’daki kritik bir uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2020-14883’ten yararlanmayı denedi.
Johnston, “Bu güvenlik açığı, kimliği doğrulanmış uzaktan saldırganların bir gadget zinciri kullanarak kod yürütmesine olanak tanıyor ve genellikle CVE-2020-14882 (Oracle Weblogic Server’ı da etkileyen bir kimlik doğrulama atlama güvenlik açığı) veya sızdırılmış, çalınmış veya zayıf kimlik bilgilerinin kullanımıyla zincirleniyor” dedi. .
Bu açıktan yararlanmanın ardından, saldırganlar kötü niyetli olarak hazırlanmış XML dosyalarını indirerek kod yürütülmesine olanak tanıyor ve son olarak hırsız ve kripto madenciliğe yönelik kötü amaçlı yazılımları (AgentTesla, rhajk, nasqa) dağıtıyor.
CVE-2020-14883 kullanılarak enfeksiyon zinciri. (Kaynak: Imperva Tehdit Araştırması)
Johnston, “Grup hedeflerini seçerken fırsatçı görünüyor, ülke veya endüstride net bir eğilim yok” dedi ve ABD, Güney Afrika, İspanya, Kolombiya’da sağlık, telekomünikasyon ve finansal hizmetleri hedeflediğini ekledi. ve Meksika.