Các tác nhân đe dọa liên quan đến băng đảng 8220 đã được quan sát thấy khai thác một lỗ hổng nghiêm trọng cao trong Oracle WebLogic Server để truyền bá phần mềm độc hại của họ.
Thiếu sót bảo mật là CVE-2020-14883 (điểm CVSS: 7.2), một lỗi thực thi mã từ xa có thể bị kẻ tấn công xác thực khai thác để chiếm quyền kiểm soát các máy chủ nhạy cảm.
"Lỗ hổng này cho phép những kẻ tấn công được xác thực từ xa thực thi mã bằng chuỗi tiện ích và thường được xâu chuỗi với CVE-2020-14882 (một lỗ hổng bỏ qua xác thực cũng ảnh hưởng đến Oracle Weblogic Server) hoặc sử dụng thông tin đăng nhập bị rò rỉ, bị đánh cắp hoặc yếu", Imperva cho biết trong một báo cáo được công bố vào tuần trước.
Băng đảng 8220 có lịch sử tận dụng các lỗ hổng bảo mật đã biết để phân phối phần mềm độc hại cryptojacking. Đầu tháng 5 này, nhóm đã được phát hiện sử dụng một thiếu sót khác trong các máy chủ Oracle WebLogic (CVE-2017-3506, điểm CVSS: 7.4) để buộc các thiết bị vào một mạng botnet khai thác tiền điện tử.
Các chuỗi tấn công gần đây được Imperva ghi lại đòi hỏi phải khai thác CVE-2020-14883 để đặc biệt tạo các tệp XML và cuối cùng chạy mã chịu trách nhiệm triển khai phần mềm độc hại đánh cắp và khai thác tiền xu như Đặc vụ Tesla, rhajk và nasqa.
"Nhóm này dường như có cơ hội khi lựa chọn mục tiêu của họ, không có xu hướng rõ ràng trong nước hoặc ngành công nghiệp", nhà nghiên cứu bảo mật Daniel Johnston của Imperva nói.
Các mục tiêu của chiến dịch bao gồm các lĩnh vực chăm sóc sức khỏe, viễn thông và dịch vụ tài chính ở Mỹ, Nam Phi, Tây Ban Nha, Columbia và Mexico.
"Nhóm này dựa vào các khai thác đơn giản, có sẵn công khai để nhắm mục tiêu vào các lỗ hổng nổi tiếng và khai thác các mục tiêu dễ dàng để đạt được mục tiêu của họ", Johnston nói thêm. "Mặc dù được coi là không tinh vi, họ liên tục phát triển chiến thuật và kỹ thuật của mình để tránh bị phát hiện."