Новости 8220 Gang: китайские хакеры майнят крипту в федеральных сетях США

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
CISA призывает правительственные агентства срочно обновить уязвимые системы.


jlkk1r09beeeniy6kkqqvcz50hbgdzwa.jpg


Агентство кибербезопасности и безопасности инфраструктуры США ( CISA ) добавило критическую уязвимость в Oracle WebLogic Server в каталог известных эксплуатируемых уязвимостей (KEV). Это сделано на основе имеющихся доказательств активной эксплуатации уязвимости злоумышленниками.

Уязвимость Для просмотра ссылки Войди или Зарегистрируйся с оценкой опасности 7.4 по шкале CVSS представляет собой уязвимость для внедрения операционных команд в Oracle WebLogic Server. Она позволяет атакующим выполнять произвольный код на уязвимых серверах путём отправки специально созданного HTTP-запроса с вредоносным XML-документом. В результате злоумышленники могут получить несанкционированный доступ и полный контроль над скомпрометированными системами.

Согласно данным экспертов по кибербезопасности, китайская хакерская группа 8220 Gang, также известная как Water Sigbin, эксплуатирует эту уязвимость с начала 2022 года. Хакеры используют её для развёртывания ботнета для майнинга криптовалют путём заражения неисправленных и уязвимых систем.

Специалисты Trend Micro отмечают, что группировка 8220 Gang применяет передовые методы обфускации кода и сложные скрипты для скрытной доставки вредоносных полезных нагрузок на атакуемые системы. В частности, используется кодирование URL в шестнадцатеричном формате, а также доставка полезных нагрузок по протоколу HTTPS через порт 443 для обхода систем обнаружения вторжений.

Вредоносные скрипты на PowerShell и batch включают в себя сложные техники кодирования и маскировки вредоносного кода внутри якобы безвредных скриптов с использованием переменных среды.

В связи с выявленными фактами активной эксплуатации уязвимости CVE-2017-3506 и других критических уязвимостей в Oracle WebLogic (CVE-2023-21839), федеральным агентствам США рекомендовано установить имеющиеся исправления от Oracle в срок до 24 июня 2024 года. Это необходимо для защиты правительственных сетей от потенциальных кибератак со стороны хакерских группировок.

CISA настоятельно призывает владельцев систем, использующих Oracle WebLogic Server, тщательно проанализировать данные об угрозе и как можно скорее обновить уязвимые версии продукта, чтобы снизить риски потенциального взлома и заражения вредоносным ПО.
 
Источник новости
www.securitylab.ru

Похожие темы