7年前的Oracle收件箱错误被积极利用
CVE-2017-3506会影响Oracle的WebLogic服务器,从而允许在受影响的操作系统上远程执行命令.
甲骨文的补丁程序最初是在2017年4月发布的,但最近的研究表明,出于经济动机,它现在正被中国网络犯罪分子利用.
一个已有7年历史的甲骨文漏洞是最新被添加到中国国家安全局已知已利用漏洞(KEV)目录中的,这意味着该安全机构认为它对联邦政府构成了重大威胁.
根据安全公司趋势科技最近的工作,它跟踪的名为Water Sigbin(也称为8220 Gang)的组织正在武器化CVE-2017-3506和第二个更新的甲骨文WebLogic漏洞(CVE-2023-21839),以便在目标主机上部署加密货币挖掘器.
趋势科技的高级威胁研究员苏尼尔·巴蒂写道:“Water Sigbin利用CVE-2017-3506和CVE-2023-21839的行为突显了现代威胁参与者的适应性.
使用复杂的混淆技术,如URL的十六进制编码、PowerShell和批处理脚本中的复杂编码、使用环境变量以及分层混淆来隐藏看似无害的脚本中的恶意代码,这表明Water Sigbin是一个能够巧妙隐藏其踪迹的威胁参与者,这使得检测和预防对安全团队来说更具挑战性.
”Trellix(前身为FireEye和McAfee Enterprise)此前评估称,早在2017年,CVE-2017-3506也曾与其他三个WebLogic漏洞一起被用来侵入Superion的Click2Gov服务器.
攻击者被认为将漏洞组合成一个利用链,最终从美国各地的县政府窃取支付卡信息.
这是攻击者滥用CVE-2017-3506的最早迹象,显然它对攻击者仍然具有足够的吸引力,促使美国政府采取行动.
Water Sigbin于2017年首次被发现,自那以来一直专注于密码劫持和密码窃取游戏,在此期间不断发展其间谍技术.
该组织以攻击Oracle WebLogic漏洞以及log4j、Atlassian融合漏洞和错误配置的Docker容器而闻名,可以使用它想使用的任何恶意软件感染主机.
有时是像XMRig这样的加密者,有时是像海啸一样的DDoS僵尸网络--它经常变化.
然而,在某些情况下,它的诡计保持不变.
在被观察到在早些时候的单独攻击中利用CVE-2017-3506后,趋势科技于2023年5月对该集团进行了调查.
它说,尽管一些研究人员将该组织称为“剧本孩子”,但在Trend看来,这是一个“不容忽视的威胁”.