Siber Muhbir

Güvenlik açığı, kimliği doğrulanmış saldırganlar tarafından hassas sunucuları ele geçirmek için kullanılabilecek bir uzaktan kod yürütme hatası olan CVE-2020-14883'tür (CVSS puanı: 7.2).

Imperva, geçen hafta yayınlanan bir raporda, "Bu güvenlik açığı, uzaktan kimliği doğrulanmış saldırganların bir gadget zinciri kullanarak kod yürütmesine olanak tanır ve genellikle CVE-2020-14882 (Oracle Weblogic Server'ı da etkileyen bir kimlik doğrulama atlama güvenlik açığı) veya sızdırılmış, çalınmış veya zayıf kimlik bilgilerinin kullanımı ile zincirlenir" dedi.

8220 Çetesi, cryptojacking kötü amaçlı yazılımlarını dağıtmak için bilinen güvenlik açıklarından yararlanma geçmişine sahiptir. Bu Mayıs ayının başlarında, grubun cihazları bir kripto madenciliği botnet'ine bağlamak için Oracle WebLogic sunucularında (CVE-2017-3506, CVSS puanı: 7.4) başka bir eksiklik kullandığı tespit edildi.

Imperva tarafından belgelenen son saldırı zincirleri, CVE-2020-14883'ün özel olarak XML dosyaları oluşturmak ve nihayetinde Agent Tesla, rhajk ve nasqa gibi hırsız ve madeni para madenciliği kötü amaçlı yazılımlarını dağıtmaktan sorumlu kodu çalıştırmak için kullanılmasını gerektirir.

Imperva güvenlik araştırmacısı Daniel Johnston, "Grup, hedeflerini seçerken fırsatçı görünüyor, ülke veya sektörde net bir eğilim yok" dedi.

Kampanyanın hedefleri arasında ABD, Güney Afrika, İspanya, Kolombiya ve Meksika'daki sağlık, telekomünikasyon ve finansal hizmetler sektörleri yer alıyor.

Johnston, "Grup, iyi bilinen güvenlik açıklarını hedeflemek ve hedeflerine ulaşmak için kolay hedeflerden yararlanmak için basit, halka açık istismarlara güveniyor" diye ekledi. "Sofistike olmadıkları düşünülse de, tespit edilmekten kaçınmak için taktiklerini ve tekniklerini sürekli olarak geliştiriyorlar."