A Trend Micro jelzése szerint elavult Oracle WebLogic szervereket támad a „8220 Gang” néven ismert kiberbűnözői csoport.
A támadásokhoz a kifejezetten kriptovaluta bányászására (cryptojacking) szakosodott csoport egy hat éve patchelt biztonsági rést használ ki. Célpontjaik közé azok a rosszul konfigurált vagy sebezhető hosztok tartoznak, amelyek a nyílt interneten elérhetőek.
A Trend Micro információi szerint a 8220 Gang legutóbb egy Oracle WebLogic Server sebezhetőséget célzott meg, amihez valójában 2017 áprilisa óta elérhető biztonsági hibajavítás (lásd: alábbi sérülékenység leírás).
A elemzések szerint a csoport szokásos malware arzenálja mellett (például: PureCrypter nevű downloadrer, vagy a biztonsági szoftverek, vírusírtók megkerülésére szolgáló ScrubCrypt) nehezen detektálható, ún. Living-off-the-Land technikákat is bevetett, köztük PowerShell szkripteket és egy legitim Linux szolgáltatást (lwp-download).
Az lwp-donwload egy olyan Linux segédprogram, amely alapértelmezés szerint számos platformon jelen van, így a 8220 Gang ezt bármely rosszindulatú műveletéhez felhasználhatja.
A sérülékeny hosztok üzemeltetői számára javasoljuk az azonnali patchelést, illetve az lwp-download ellenei támadások detektálási képességének fejlesztését.
