Tin tặc khai thác lỗ hổng WebLogic của Oracle để chiếm quyền điều khiển máy chủ và đào tiền ảo 

Nhóm tin tặc 8220 Gang đã khai thác một lỗ hổng 6 năm tuổi trong Oracle WebLogic để tấn công vào các máy chủ và phát tán phần mềm độc hại đào tiền ảo.   

Lỗ hổng được theo dõi là CVE-2017-3506 (điểm CVSS: 7,4), khai thác thành công, có thể cho phép kẻ tấn công không xác thực được thực thi các lệnh tùy ý từ xa, cho phép truy cập trái phép vào dữ liệu nhạy cảm hoặc chiếm quyền điểu khiển toàn bộ hệ thống.   

Trong chuỗi tấn công mới nhất được Trend Micro ghi nhận, lỗ hổng máy chủ WebLogic của Oracle được khai thác để cung cấp payload PowerShell, sau đó được sử dụng để tạo một tập lệnh PowerShell khác được che giấu trong bộ nhớ.  

Tập lệnh PowerShell mới được tạo này sẽ vô hiệu hóa tính năng phát hiện Antimalware Scan Interface (AMSI) của Windows và khởi chạy tệp nhị phân Windows thực hiện kết nối với máy chủ từ xa để tải về payload được che giấu.  

Trend Micro cho biết các cuộc tấn công gần đây cũng liên quan đến việc khai thác một công cụ Linux hợp lệ là lwp-download để lưu các tệp tùy ý trên máy chủ bị xâm nhập.  

8220 Gang được phát hiện từ cuối năm 2018 và xác định các mục tiêu thông qua việc quét các máy chủ bị cấu hình sai hoặc tồn tại lỗ hổng trên internet. Nhóm tin tặc sử dụng các cuộc tấn công SSH sau khi lây nhiễm để di chuyển bên trong mạng bị xâm nhập. 

Nguồn: The Hacker News