Los actores de amenazas asociados con el 8220 pandilla Se ha observado que explotan una falla de alta gravedad en Oracle WebLogic Server para propagar su malware.
La deficiencia de seguridad es CVE-2020-14883 (Puntuación CVSS: 7,2), un error de ejecución remota de código que podrían aprovechar atacantes autenticados para apoderarse de servidores vulnerables.
“Esta vulnerabilidad permite a atacantes remotos autenticados ejecutar código utilizando una cadena de dispositivos y comúnmente está encadenada con CVE-2020-14882 (una vulnerabilidad de omisión de autenticación que también afecta a Oracle Weblogic Server) o el uso de credenciales filtradas, robadas o débiles”, Imperva dicho en un informe publicado la semana pasada.
8220 Gang tiene un historial de aprovechar fallas de seguridad conocidas para distribuir malware de criptojacking. A principios de mayo, se descubrió que el grupo utilizaba otra deficiencia en los servidores Oracle WebLogic (CVE-2017-3506, puntuación CVSS: 7,4) para conectar los dispositivos a una botnet de criptominería.
Las cadenas de ataques recientes documentadas por Imperva implican la explotación de CVE-2020-14883 para crear archivos XML especialmente y, en última instancia, ejecutar el código responsable de implementar malware de ladrones y minería de monedas, como Agent Tesla, rhajk y nasqa.
“El grupo parece ser oportunista a la hora de seleccionar sus objetivos, sin una tendencia clara en el país o la industria”, dijo el investigador de seguridad de Imperva, Daniel Johnston.
Los objetivos de la campaña incluyen los sectores de atención médica, telecomunicaciones y servicios financieros en Estados Unidos, Sudáfrica, España, Colombia y México.
“El grupo se basa en exploits simples y disponibles públicamente para atacar vulnerabilidades conocidas y explotar objetivos fáciles para lograr sus objetivos”, añadió Johnston. “Aunque se los considera poco sofisticados, están constantemente evolucionando sus tácticas y técnicas para evadir la detección”.