แฮ็กเกอร์โจมตีเซิร์ฟเวอร์ WebLogic เพื่อติดตั้งมัลแวร์ Cobalt Strike

พบผู้โจมตีกำลังเจาะช่องโหว่บนเซิร์ฟเวอร์ Oracle WebLogic ผ่านช่องโหว่รหัส CVE-2020–14882 เพื่อติดตั้ง Cobalt Strike สำหรับเปิดทางให้เข้าถึงระบบเหยื่อจากระยะไกลแบบเจาะจงสำหรับเข้าควบคุมอุปกรณ์ภายหลังได้

โดยช่วงสัปดาห์ก่อนนั้นพบการตรวจสแกนพอร์ตของ Oracle WebLogic Server มากผิดปกติด้วยเป้าหมายในการตรวจหาช่องโหว่ CVE-2020-14882 ที่เพิ่งมีการออกแพ็ตช์มาเมื่อช่วงหลายสัปดาห์ก่อน

นอกจากนี้แล้วยังพบความพยายามในการติดตั้งทูลแอบขุดเหมืองเงินคริปโตร่วมด้วย โดยเมื่อศุกร์ที่แล้วทาง Oracle ได้ออกแพ็ตช์ตัวแก้ไขสำหรับช่องโหว่ CVE-2020–14882 [2] ซึ่งกลายพันธุ์มาจากช่องโหว่เดิมรหัส CVE-2020–14750 ที่เป็นช่องโหว่สำหรับแฮ็กเซิร์ฟเวอร์ WebLogic แต่มีการปรับแก้โค้ดสำหรับเจาะระบบแตกต่างออกมา

ส่วนตัว Cobalt Strike ถือเป็นทูลเจาะระบบที่ถูกนำมาใช้งานอย่างถูกต้องตามปกติ แต่ครั้งนี้โดนผู้ไม่หวังดีนำมาใช้เปิดทางให้เข้าถึงจากระยะไกลได้ต่อเนื่อง

ที่มา : GBHackers