8220 Gang: китайские хакеры майнят крипту в федеральных сетях США

Агентство кибербезопасности и безопасности инфраструктуры США ( CISA ) добавило критическую уязвимость в Oracle WebLogic Server в каталог известных эксплуатируемых уязвимостей (KEV). Это сделано на основе имеющихся доказательств активной эксплуатации уязвимости злоумышленниками.

Уязвимость CVE-2017-3506 с оценкой опасности 7.4 по шкале CVSS представляет собой уязвимость для внедрения операционных команд в Oracle WebLogic Server. Она позволяет атакующим выполнять произвольный код на уязвимых серверах путём отправки специально созданного HTTP-запроса с вредоносным XML-документом. В результате злоумышленники могут получить несанкционированный доступ и полный контроль над скомпрометированными системами.

Согласно данным экспертов по кибербезопасности, китайская хакерская группа 8220 Gang, также известная как Water Sigbin, эксплуатирует эту уязвимость с начала 2022 года. Хакеры используют её для развёртывания ботнета для майнинга криптовалют путём заражения неисправленных и уязвимых систем.

Специалисты Trend Micro отмечают, что группировка 8220 Gang применяет передовые методы обфускации кода и сложные скрипты для скрытной доставки вредоносных полезных нагрузок на атакуемые системы. В частности, используется кодирование URL в шестнадцатеричном формате, а также доставка полезных нагрузок по протоколу HTTPS через порт 443 для обхода систем обнаружения вторжений.

Вредоносные скрипты на PowerShell и batch включают в себя сложные техники кодирования и маскировки вредоносного кода внутри якобы безвредных скриптов с использованием переменных среды.

В связи с выявленными фактами активной эксплуатации уязвимости CVE-2017-3506 и других критических уязвимостей в Oracle WebLogic ( CVE-2023-21839 ), федеральным агентствам США рекомендовано установить имеющиеся исправления от Oracle в срок до 24 июня 2024 года. Это необходимо для защиты правительственных сетей от потенциальных кибератак со стороны хакерских группировок.