8220 Gang-hez kötődő kibertevékenység
A 8220 Gang néven ismert kiberbűnözői csoport megfigyelések szerint az Oracle WebLogic Server egy nagy súlyú hibáját használják ki rosszindulatú programjaik terjesztéséhez. A 8220 Gang egy kínai hátterű csoport, akit először 2017-ben azonosított a Cisco Talos. Az Imperva által megfigyelt kihasznált sérülékenység a CVE-2020-14883 (CVSS score: 7.2), egy távoli kódfuttatási hiba, amelyet hitelesített támadók kihasználva átvehetik az irányítást a fogékony szerverek felett. Ez a sérülékenység lehetővé teszi a távoli, hitelesített támadók számára, hogy kódot hajtsanak végre egy gadget-lánc segítségével, és általában a CVE-2020-14882-vel (az Oracle Weblogic Server-t is érintő hitelesítési megkerülési sérülékenység) vagy kiszivárgott, lopott vagy gyenge hitelesítő adatok használatával láncolják össze” – írta az Imperva a 2023. december 14-én közzétett jelentésében. A 8220 Gang már korábban is kihasznált ismert sérülékenységeket cryptojacking kártevők terjesztésére. Idén május elején a csoportot az Oracle WebLogic szerverek egy másik hiányosságát (CVE-2017-3506, CVSS score: 7.4) kihasználva észlelték, hogy az eszközöket egy kriptobányász botnetbe kötik be. Az Imperva által dokumentált legújabb támadási láncok a CVE-2020-14883 kihasználását foglalják magukban, hogy speciálisan kialakított XML-fájlokat készítsenek, és végül olyan lopó és kriptobányász kártevők telepítéséért felelős kódot futtassanak, mint az Agent Tesla, a rhajk és a nasqa.