Целью хакеров стали организации в сфере здравоохранения, телекоммуникаций и финансовых услуг.
Исследователи компании Imperva Для просмотра ссылки Войдиили Зарегистрируйся активность группировки 8220, эксплуатирующей уязвимость высокой степени серьёзности в Oracle WebLogic Server для распространения своего вредоносного программного обеспечения.
Речь идёт о Для просмотра ссылки Войдиили Зарегистрируйся (оценка CVSS 7.2), представляющей собой уязвимость выполнения удалённого кода ( RCE ), которую аутентифицированные злоумышленники могут использовать для захвата уязвимых серверов.
«Эта уязвимость позволяет удалённым аутентифицированным атакующим выполнять код с помощью цепочки гаджетов и часто связывается с Для просмотра ссылки Войдиили Зарегистрируйся (уязвимостью обхода аутентификации, также затрагивающей Oracle WebLogic Server) или использованием утечек, украденных или слабых учётных данных», — говорится в отчёте Imperva.
Группировка 8220 уже имеет опыт использования известных уязвимостей безопасности для распространения вредоносного ПО с целью криптоджекинга . В мае этого года они использовали другую уязвимость серверов Oracle WebLogic ( Для просмотра ссылки Войдиили Зарегистрируйся , оценка CVSS 7.4) для добавления устройств в ботнет для майнинга криптовалюты.
Недавние цепочки атак, задокументированные Imperva, включают использование CVE-2020-14883 для создания специально подготовленных XML-файлов и последующего запуска кода, отвечающего за развёртывание вредоносного ПО для кражи данных и майнинга криптовалюты, такого как Agent Tesla, rhajk и nasqa.
«Складывается ощущение, что группа действует несистемно, без явной тенденции в выборе страны или отрасли», — отметил исследователь безопасности из Imperva Даниэль Джонстон.
Целями вредоносной кампании 8220 уже стали сектора здравоохранения, телекоммуникаций и финансовых услуг в США, Южной Африке, Испании, Колумбии и Мексике.
«Группа полагается на простые, общедоступные эксплойты для атак на известные уязвимости и достижения своих интересов», — добавил Джонстон. «Несмотря на то, что их методы считаются несложными, они постоянно эволюционируют в своих тактиках и техниках, чтобы избежать обнаружения».
Исследователи компании Imperva Для просмотра ссылки Войди
Речь идёт о Для просмотра ссылки Войди
«Эта уязвимость позволяет удалённым аутентифицированным атакующим выполнять код с помощью цепочки гаджетов и часто связывается с Для просмотра ссылки Войди
Группировка 8220 уже имеет опыт использования известных уязвимостей безопасности для распространения вредоносного ПО с целью криптоджекинга . В мае этого года они использовали другую уязвимость серверов Oracle WebLogic ( Для просмотра ссылки Войди
Недавние цепочки атак, задокументированные Imperva, включают использование CVE-2020-14883 для создания специально подготовленных XML-файлов и последующего запуска кода, отвечающего за развёртывание вредоносного ПО для кражи данных и майнинга криптовалюты, такого как Agent Tesla, rhajk и nasqa.
«Складывается ощущение, что группа действует несистемно, без явной тенденции в выборе страны или отрасли», — отметил исследователь безопасности из Imperva Даниэль Джонстон.
Целями вредоносной кампании 8220 уже стали сектора здравоохранения, телекоммуникаций и финансовых услуг в США, Южной Африке, Испании, Колумбии и Мексике.
«Группа полагается на простые, общедоступные эксплойты для атак на известные уязвимости и достижения своих интересов», — добавил Джонстон. «Несмотря на то, что их методы считаются несложными, они постоянно эволюционируют в своих тактиках и техниках, чтобы избежать обнаружения».
- Источник новости
- www.securitylab.ru