8220 Gang khai thác lỗ hổng máy chủ Oracle WebLogic để triển khai công cụ đào tiền điện tử

Nguồn: gbhackers.com

Các lỗ hổng của Oracle WebLogic Server cho phép tin tặc truy cập vào các hệ thống trái phép được sử dụng cho dữ liệu và ứng dụng kinh doanh.
Điều này có thể cho phép các tác nhân đe dọa đưa các chương trình bên ngoài vào và kiểm soát toàn bộ hệ thống, do đó chiếm quyền quản trị. Kết quả cuối cùng là vi phạm thông tin, tấn công từ chối dịch vụ hoặc phát tán phần mềm độc hại trên mạng, trong số những thứ khác.
Oracle WebLogic Server là công nghệ có giá trị cao và được triển khai rộng rãi trong các tổ chức, khiến chúng trở thành mục tiêu hấp dẫn đối với các tác nhân đe dọa muốn đạt được tác động tối đa và lợi nhuận tiền tệ.
Các nhà phân tích an ninh mạng tại Broadcom gần đây đã phát hiện ra rằng các băng nhóm 8220 đã tích cực khai thác lỗ hổng của máy chủ Oracle WebLogic để triển khai trình đào tiền điện tử.

8220 Gang khai thác lỗ hổng máy chủ Oracle WebLogic

Nhóm 8220, một nhóm đe dọa có liên hệ với Trung Quốc bao gồm các lập trình viên lành nghề chủ yếu hoạt động vì lợi ích tài chính, đã hoạt động khá liên tục kể từ năm 2017.
Nhóm đe dọa tiêu biểu này đã xâm nhập vào các thực thể có giá trị cao bao gồm các lĩnh vực phát triển phần mềm độc hại tinh vi và khai thác lỗ hổng.
Việc liên tục đạt được mục tiêu cuối cùng của chúng – lợi nhuận tài chính bất hợp pháp – kết hợp với các phương pháp mới và các kế hoạch không thể phát hiện đã thu hút sự chú ý của mọi người trên toàn cầu và nâng cao mức độ phòng thủ.
Các nhà nghiên cứu cho biết nhóm đe dọa này nổi tiếng vì sử dụng phần mềm độc hại để khai thác tiền điện tử bất hợp pháp. Trọng tâm chính của nhóm là các máy chủ Linux và môi trường đám mây.
Nhóm này khai thác các lỗ hổng phần mềm hiện có và sau đó áp dụng một số phương pháp, chiến thuật và quy trình (TTP) để xâm nhập hệ thống và thỉnh thoảng giành được vị thế.
Sau đó, chúng chuyển hướng các tài nguyên tính toán để thực hiện các dự án khai thác tiền điện tử bí mật bằng cách sử dụng nó một cách lén lút.
Những kẻ tấn công đã khai thác các lỗ hổng sau trong một trong những cuộc tấn công mạng gần đây để chèn một trình khai thác tiền điện tử:-
  • CVE-2017-3506
  • CVE-2023-21839
Để điều này xảy ra, các tác nhân đe dọa đã viết một tập lệnh PowerShell cho phép chúng bí mật sử dụng phần mềm khai thác trên các máy bị xâm phạm bằng cách sử dụng tài nguyên của hệ thống để khai thác tiền kỹ thuật số.
Các tập lệnh được viết bằng PowerShell sử dụng rất nhiều mã hóa và trong tệp hàng loạt, có một phần mã ẩn thêm mã thực tế.
Do sử dụng các biến môi trường, những kẻ tấn công có thể ẩn các hoạt động độc hại mà các tổ chức bảo mật và phần mềm sẽ không dễ dàng nhìn thấy hoặc phát hiện.
Chiến lược lây nhiễm độc lập của nhóm liên quan đến việc chạy hầu hết mã phần mềm độc hại trực tiếp trong bộ nhớ thay vì trên các tài nguyên lưu trữ đĩa để tránh bị phát hiện.

.

.