黑客的目标是医疗保健、电信和金融服务领域的组织。

Imperva 研究人员检测到8220 组织的活动，该组织正在利用Oracle WebLogic Server 中的高严重性漏洞来分发其恶意软件。

所涉及的问题是 CVE-2020-14883 （CVSS评分7.2），这是一个远程代码执行 ( RCE ) 漏洞，经过身份验证的攻击者可以利用该漏洞来接管易受攻击的服务器。

Imperva 表示：“此漏洞允许经过身份验证的远程攻击者通过一系列小工具执行代码，并且通常与 CVE-2020-14882 （也影响 Oracle WebLogic Server 的身份验证绕过漏洞）或使用泄露、被盗或弱凭据相关。”报告中。

8220 组织已经拥有利用已知安全漏洞传播恶意软件以进行加密劫持的经验。今年5月，他们利用Oracle WebLogic服务器中的另一个漏洞（ CVE-2017-3506 ，CVSS评分7.4）将设备添加到僵尸网络中进行加密货币挖掘。

Imperva 记录的最新攻击链包括使用 CVE-2020-14883 创建特制 XML 文件，然后执行负责部署数据盗窃和加密货币挖掘恶意软件（例如 Agent Tesla、rhajk 和 nasqa）的代码。

Imperva 安全研究员丹尼尔·约翰斯顿 (Daniel Johnston) 表示：“该组织似乎以临时方式运作，其所在国家或行业选择没有明确的趋势。”

8220 恶意活动已针对美国、南非、西班牙、哥伦比亚和墨西哥的医疗保健、电信和金融服务行业。

“该组织依靠简单、公开的漏洞来攻击已知漏洞并实现他们的利益，”约翰斯顿补充道。“尽管他们的方法被认为并不复杂，但他们不断改进策略和技术以避免被发现。”