有的網絡攻擊組織喜歡極具攻擊力的0-Day漏洞，但也有的組織更愿意在那些已經公開的漏洞上下功夫，針對那些未能打好補丁的目標，不斷優化策略和技術來逃避安全檢測，從而最終實現入侵。

近日，Imperva發布安全公告稱，觀察到8220組織正在利用甲骨文 WebLogic 服務器中的一個高嚴重性漏洞來傳播他們的惡意軟件。該漏洞編號 CVE-2020-14883（CVSS 評分：7.2），是一個遠程代碼執行漏洞，常被攻擊者利用來繞過服務器認證。

Imperva安全人員分析指出，漏洞允許遠程認證的攻擊者使用小工具鏈執行代碼，并且通常和泄露、被盜或弱密碼結合使用，能夠很順利地繞過。

事實上，8220組織經常利用已知/已公開的安全漏洞來傳播挖坑惡意軟件。2023年5月，該組織利用甲骨文 WebLogic 服務器的另一個漏洞（CVE-2017-3506，CVSS 評分：7.4），成功將大量安設備納入加密挖礦僵尸網絡。

Imperva 記錄的最近攻擊鏈包括利用 CVE-2020-14883 來特別制作 XML 文件，并最終運行負責部署竊取者和貨幣挖礦惡意軟件（如 Agent Tesla、rhajk 和 nasqa）的代碼。該活動的目標包括美國、南非、西班牙、哥倫比亞和墨西哥的醫療保健、電信和金融服務部門。

Imperva 安全分析人員指出，依靠簡單、公開、可用的漏洞來傳播惡意軟件是他們的一貫做法，雖然整個攻擊過程不復雜，但是他們也在不斷演進攻擊策略和技術，結合那些眾所周知的漏洞，往往可以獲得成功。

8220組織又名“8220挖礦組”，因其使用8220端口進行指揮與控制或C&C通信交換而得名，自2017年以來一直活躍，持續掃描云和容器環境中的易受攻擊應用程序。研究人員記錄了這個團伙針對甲骨文WebLogic、Apache Log4j、Atlassian Confluence漏洞以及配置不當的Docker容器，以在Linux和Microsoft Windows主機上部署加密貨幣礦工。該團伙被記錄使用了海嘯惡意軟件、XMRIG加密挖礦程序、masscan和spirit等工具進行他們的活動。

在誘餌系統捕獲的一次近期攻擊，該攻擊利用了甲骨文WebLogic漏洞CVE-2017-3506。這個漏洞的CVSS評分為7.4，影響甲骨文WebLogic的WLS安全組件，一旦被利用，攻擊者可以通過特制的XML文檔遠程通過HTTP請求執行任意命令。這允許攻擊者未經授權地訪問敏感數據或危害整個系統。

參考鏈接：https://thehackernews.com/2023/12/8220-gang-exploiting-oracle-weblogic.html