Tin tặc đang khai thác lỗ hổng máy chủ Oracle WebLogic để phát tán mã độc

Các tác nhân đe dọa liên quan đến nhóm 8220 Gang được phát hiện đang khai thác một lỗ hổng có độ nghiêm trọng mức cao trong Máy chủ Oracle WebLogic để phát tán phần mềm độc hại.

Lỗ hổng có định danh CVE-2020-14883 (điểm CVSS: 7.2), một lỗi thực thi mã từ xa có thể bị những kẻ tấn công đã được xác thực khai thác để chiếm quyền kiểm soát các máy chủ dễ bị tấn công.

Trong một báo cáo gần đây, Imperva cho biết: “Lỗ hổng này cho phép kẻ tấn công đã được xác thực thực thi mã từ xa, thường được kết hợp cùng CVE-2020-14882 (một lỗ hổng cho phép vượt qua kiểm tra xác thực trong Máy chủ Weblogic của Oracle) hoặc việc sử dụng thông tin xác thực bị rò rỉ, bị đánh cắp hoặc yếu”.

8220 Gang từng lợi dụng các lỗ hổng bảo mật đã biết để phát tán phần mềm độc hại khai thác tiền điện tử (cryptojacking). Đầu tháng 5 này, nhóm này bị phát hiện đã sử dụng một lỗ hổng khác trong máy chủ Oracle WebLogic (CVE-2017-3506, điểm CVSS: 7.4) để lây nhiễm mã độc botnet khai thác tiền điện tử vào các thiết bị.

Các chuỗi tấn công gần đây được Imperva phát hiện bao gồm việc khai thác CVE-2020-14883 để tạo các tệp XML độc hại và cuối cùng thực thi mã nhằm triển khai các phần mềm độc hại đánh cắp và khai thác tiền điện tử như Agent Tesla, rhajk và nasqa,...

Nhà nghiên cứu bảo mật Daniel Johnston của Imperva cho biết: “Nhóm này không có xu hướng rõ ràng về quốc gia hoặc lĩnh vực để nhắm mục tiêu”.

Mục tiêu của chiến dịch bao gồm các lĩnh vực chăm sóc sức khỏe, viễn thông và dịch vụ tài chính ở Mỹ, Nam Phi, Tây Ban Nha, Columbia và Mexico.

Johnston cho biết thêm: “Nhóm này dựa vào các mã khai thác có sẵn công khai để nhắm vào các lỗ hổng phổ biến và khai thác các đối tượng dễ bị tấn công để đạt được mục tiêu của chúng”.

Để giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công như vậy, người dùng nên thường xuyên kiểm tra và nhanh chóng cập nhật bản vá cho các phần mềm, ứng dụng đang sử dụng ngay khi chúng có sẵn.

Nguồn: thehackernews.com.