Les acteurs menaçants associés au 8220 Bande ont été observés en train d’exploiter une faille de haute gravité dans Oracle WebLogic Server pour propager leurs logiciels malveillants.
Le manque de sécurité est CVE-2020-14883 (score CVSS : 7,2), un bug d’exécution de code à distance qui pourrait être exploité par des attaquants authentifiés pour prendre le contrôle de serveurs sensibles.
« Cette vulnérabilité permet à des attaquants authentifiés à distance d’exécuter du code à l’aide d’une chaîne de gadgets et est généralement enchaînée avec CVE-2020-14882 (une vulnérabilité de contournement d’authentification affectant également Oracle Weblogic Server) ou l’utilisation d’informations d’identification divulguées, volées ou faibles », Imperva dit dans un rapport publié la semaine dernière.
Le 8220 Gang exploite depuis longtemps les failles de sécurité connues pour distribuer des logiciels malveillants de cryptojacking. Plus tôt en mai, le groupe a été repéré utilisant une autre lacune des serveurs Oracle WebLogic (CVE-2017-3506, score CVSS : 7,4) pour connecter les appareils à un botnet de crypto-minage.
Les chaînes d’attaque récentes documentées par Imperva impliquent l’exploitation de CVE-2020-14883 pour créer spécialement des fichiers XML et finalement exécuter du code responsable du déploiement de logiciels malveillants voleurs et d’extraction de pièces de monnaie tels que l’agent Tesla, rhajk et nasqa.
« Le groupe semble opportuniste dans la sélection de ses cibles, sans tendance claire dans le pays ou l’industrie », a déclaré Daniel Johnston, chercheur en sécurité chez Imperva.
Les cibles de la campagne incluent les secteurs de la santé, des télécommunications et des services financiers aux États-Unis, en Afrique du Sud, en Espagne, en Colombie et au Mexique.
« Le groupe s’appuie sur des exploits simples et accessibles au public pour cibler des vulnérabilités bien connues et exploiter des cibles faciles pour atteindre ses objectifs », a ajouté Johnston. « Bien qu’ils soient considérés comme peu sophistiqués, ils font constamment évoluer leurs tactiques et techniques pour échapper à la détection. »