İlk olarak 2017 yılında Cisco Talos tarafından tanımlanan 8220 hacker grubu, kripto hırsızlığı yapan kötü amaçlı yazılımlarla hem Windows hem de Linux web sunucularından yararlanıyor. Son faaliyetlerinden biri Oracle WebLogic güvenlik açığının (CVE-2017-3506) ve Log4Shell’in (CVE-2021-44228) istismarını içeriyordu.
Ancak bu tehdit grubunun geçmişinde Confluence, Log4j, Drupal, Hadoop YARN ve Apache Struts2 uygulamaları gibi çeşitli güvenlik açıklarından yararlanıldı. TTP’leri, halka açık olarak yayınlanan farklı istismarlarla geliştirildi.
8220 Hacker Grubu
Buna ek olarak grubun, Oracle WebLogic Server’daki bir Uzaktan kod yürütme güvenlik açığı olan (CVE-2020-14883) istismar ettiği de keşfedildi. Bu yararlanma zinciri, Oracle WebLogic sunucusundaki başka bir kimlik doğrulama atlama güvenlik açığıyla (CVE-2020-14882) birleştirilmiştir.
Bu iki güvenlik açığından yararlanma yöntemlerinin kamuya açık olması, tehdit aktörlerinin bunları kötü amaçlarla değiştirmesini ve istismar etmesini nispeten kolaylaştırır.
İki farklı istismar zinciri keşfedildi ve bunlardan biri, işletim sistemi üzerinde komutların yürütülmesinin ileri aşamaları için kullanılan bir XML dosyasının yüklenmesini sağlıyor, diğeri ise bir XML dosyası kullanmadan Java kodunu çalıştırıyor.
Enfeksiyon Zincirleri
İlk enfeksiyon zinciri, hedef işletim sistemine bağlı olarak farklı XML dosyaları kullanır. Linux durumunda, diğer dosyaların indirilmesi cURL, wget, lwp-download ve python urllib ile onu base64’e kodlayan özel bir bash işlevi aracılığıyla gerçekleştirilir.
Yöntem, başlangıçta işletim sistemini değerlendiren ve ilk yöntemde yürütülen aynı komut dizelerini yürüten bir Java kodu enjekte eder. İndirme ve yürütme işlemi gerçekleştikten sonra, ele geçirilen ana bilgisayarlara AgentTesla, rhajk ve nasqa kötü amaçlı yazılım çeşitleri bulaşır.
Kullanım, kullanılan komut, kodlama ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
URL’si
Kaynak IP’leri
