«8220 Gang» հաքերների խմբի ձեռագիրը նկատվել է Oracle WebLogic սերվերների անվտանգության խոցելիությունը չարաշահելու մեջ, որի արդյունքում տարածվել են կրիպտոարժույթի mining malware-ներ:
Խոսքը CVE-2017-3506 -ի մասին է (միավորը՝ 7.4), որը հաջողությամբ կիրառելու դեպքում հաքերները հնարավորթյուն կունենան remote տարբերակով կամայական հրամաններ գործարկել:
8220 Gang-ն առաջին անգամ փաստաթղթավորվել է Cisco Talos-ի կողմից 2018-ի վերջին:
Ավելի ուշ Sydig-ը ընդհանրացրեց և մանրամասնեց հարձակումների պատկերը, որը նպատակ ուներ խախտել խոցելի Oracle WebLogic և Apache վեբ սերվերների անխափան աշխատանքը:
Ինչպես նաև բացահայտվեց, որ այն որպես PureCrypter, կիրառում է off-the-shelf malware-ը, ինչպես նաև ScrubCrypt կոդային անունով ծածկագիրը` miner payload-եր տարածելու և անվտանգության ծրագրերի հայտնաբերումից խուսափելու համար:
Trend Micro-ի կողմից փաստագրված վերջին հարձակման ժամանակ Oracle WebLogic Server-ի խոցելիությունը շահագործվել է PowerShell-եր տրամադրելու մեջ, որն այնուհետև կիրառվել է PowerShell սկրիպտեր ստեղծելու համար:
Միջանկյալ DLL ֆայլն իր հերթին նախատեսված է C2 սերվերներից մեկից՝ 179.43.155[.]202, work.letmaker[.]top և su-94.letmaker[.]top-ից կրիպտոարժույթի miner-ը ներբեռնելու համար:
Trend Micro-ի հավաստմամբ վերջին հարձակումները հանգեցրել են օրինական Linux-ի չարաշահմանը, ինչն էլ վտանգել է հոսթի վրա կամայական ֆայլեր պահելու անհրաժեշտությունը:
Աղբյուրը՝ https://thehackernews.com/
