有的網(wǎng)絡(luò)攻擊組織喜歡極具攻擊力的0-Day漏洞，但也有的組織更愿意在那些已經(jīng)公開的漏洞上下功夫，針對(duì)那些未能打好補(bǔ)丁的目標(biāo)，不斷優(yōu)化策略和技術(shù)來逃避安全檢測，從而最終實(shí)現(xiàn)入侵。

近日，Imperva發(fā)布安全公告稱，觀察到8220組織正在利用甲骨文 WebLogic 服務(wù)器中的一個(gè)高嚴(yán)重性漏洞來傳播他們的惡意軟件。該漏洞編號(hào) CVE-2020-14883（CVSS 評(píng)分：7.2），是一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，常被攻擊者利用來繞過服務(wù)器認(rèn)證。

Imperva安全人員分析指出，漏洞允許遠(yuǎn)程認(rèn)證的攻擊者使用小工具鏈執(zhí)行代碼，并且通常和泄露、被盜或弱密碼結(jié)合使用，能夠很順利地繞過。

事實(shí)上，8220組織經(jīng)常利用已知/已公開的安全漏洞來傳播挖坑惡意軟件。2023年5月，該組織利用甲骨文 WebLogic 服務(wù)器的另一個(gè)漏洞（CVE-2017-3506，CVSS 評(píng)分：7.4），成功將大量安設(shè)備納入加密挖礦僵尸網(wǎng)絡(luò)。

Imperva 記錄的最近攻擊鏈包括利用 CVE-2020-14883 來特別制作 XML 文件，并最終運(yùn)行負(fù)責(zé)部署竊取者和貨幣挖礦惡意軟件（如 Agent Tesla、rhajk 和 nasqa）的代碼。該活動(dòng)的目標(biāo)包括美國、南非、西班牙、哥倫比亞和墨西哥的醫(yī)療保健、電信和金融服務(wù)部門。

Imperva 安全分析人員指出，依靠簡單、公開、可用的漏洞來傳播惡意軟件是他們的一貫做法，雖然整個(gè)攻擊過程不復(fù)雜，但是他們也在不斷演進(jìn)攻擊策略和技術(shù)，結(jié)合那些眾所周知的漏洞，往往可以獲得成功。

8220組織又名“8220挖礦組”，因其使用8220端口進(jìn)行指揮與控制或C&C通信交換而得名，自2017年以來一直活躍，持續(xù)掃描云和容器環(huán)境中的易受攻擊應(yīng)用程序。研究人員記錄了這個(gè)團(tuán)伙針對(duì)甲骨文WebLogic、Apache Log4j、Atlassian Confluence漏洞以及配置不當(dāng)?shù)腄ocker容器，以在Linux和Microsoft Windows主機(jī)上部署加密貨幣礦工。該團(tuán)伙被記錄使用了海嘯惡意軟件、XMRIG加密挖礦程序、masscan和spirit等工具進(jìn)行他們的活動(dòng)。

在誘餌系統(tǒng)捕獲的一次近期攻擊，該攻擊利用了甲骨文WebLogic漏洞CVE-2017-3506。這個(gè)漏洞的CVSS評(píng)分為7.4，影響甲骨文WebLogic的WLS安全組件，一旦被利用，攻擊者可以通過特制的XML文檔遠(yuǎn)程通過HTTP請求執(zhí)行任意命令。這允許攻擊者未經(jīng)授權(quán)地訪問敏感數(shù)據(jù)或危害整個(gè)系統(tǒng)。

參考鏈接：https://thehackernews.com/2023/12/8220-gang-exploiting-oracle-weblogic.html