8220 Gang Exploiting Oracle WebLogic Server Vulnerability to Spread Malware
2023/12/19 TheHackerNews — 8220 Gang に関連する脅威アクターが、Oracle WebLogic Server の RCE 脆弱性 CVE-2020-14883 (CVSSスコア:7.2) を悪用して、マルウェアを拡散していることが確認された。Imperva は、先週に発表されたレポートで、「この脆弱性の悪用に成功した、リモートの認証された攻撃者が、ガジェット・チェーンを悪用することで、コードを実行することを可能にするものだ。Oracle WebLogic Server にも影響を与える、認証バイパスの脆弱性 CVE-2020-14882 と連鎖させる悪用が一般的であるが、漏洩/窃取した認証情報や、脆弱な認証情報が使用される場合もある」と詳述している。
以前の 8220 Gang は、既知のセキュリティ脆弱性を悪用して、クリプトジャッキング・マルウェアを配布していた。このグループは 2023年5月の初旬に、Oracle WebLogic サーバーの別の脆弱性 CVE-2017-3506 (CVSSスコア:7.4) を悪用して、攻撃したデバイスを暗号マイニング・ボットネットに誘導していた。
最近になって Imperva が文書化した攻撃チェーンは、脆弱性 CVE-2020-14883 を悪用して XML ファイルを特別に細工し、リモートコードを実行するものだ。その結果として、最終的には Agent Tesla/rhajk/nasqa などの、スティーラーやコインマイナーが展開されていく。
Imperva のセキュリティ研究者である Daniel Johnston は、「このグループには明確な傾向がなく、日和見的に標的が選ばれるため、あらゆる政府や業界が攻撃されているように見える」と指摘する。
このキャンペーンの標的は、米国/南アフリカ/スペイン/コロンビア/メキシコなどの、ヘルスケア/テレコミュニケーション/金融サービス部門などである。
Johnston は、「このグループは、よく知られた脆弱性を狙い、一般的で簡単に利用できるエクスプロイトを用いて、目的を達成していく。その攻撃の洗練度には懐疑的な目が向けられているが、検知を逃れるために戦術やテクニックを常に進化させている」と述べている。
Oracle WebLogic Server の脆弱性 CVE-2020-14883/CVE-2020-14882 ですが、お隣のキュレーション・チームに聞いてみたところ。どちらも 2020年10月の定例アップデートでパッチ適用されたものとのことです。最も古からある J2EE 環境であり、WebLogic を買収した BEA を、さらに Oracle が買収して、今日にいたるという話だったと記憶しています。よろしければ、Oracle で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.