Меню
Поиск

Blue Mockingbird взломала тысячи корпоративных серверов для майнинга Monero

26 май, 2020 - 12:56

Blue Mockingbird взломала тысячи корпоративных серверов для майнинга Monero

Аналитики угроз из фирмы облачной безопасности Red Canary в этом месяце предупредили о деятельности преступной группы под кодовым наименованием Blue Mockingbird. Согласно их информации, группа действует с декабря прошлого года, заразив за это время тысячи корпоративных систем майнерами криптовалюты Monroe.

Жертвами Blue Mockingbird становятся подключенные к публичной сети серверы с работающими на них приложениями ASP.NET, в которых для компонентов пользовательского интерфейса (UI) используется фреймворк Telerik.

Хакеры эксплуатируют уязвимость CVE-2019-18935 для внедрения веб-оболочки в атакуемый сервер. Затем, они используют вариант техники Juicy Potato для получения администраторских полномочий и изменяют настройки сервера, чтобы защитить своё ПО — криптомайнер XMRRig — при перезагрузках системы.

Эксперты Red Canary утверждают, что если атакуемые серверы IIS связаны с внутренней сетью предприятия, преступная группа пытается проникнуть и туда через слабозащищенные подключения RDP (Remote Desktop Protocol) или SMB (Server Message Block).

«Как и у любая компании, занимающейся безопасностью, видимость ландшафта угроз у нас ограничена, — сказал представитель Red Canary. — Эта угроза, в частности, затронула очень небольшую долю организации, чьи конечные точки мы отслеживаем. Однако в этих организациях мы наблюдали около 1000 случаев заражения за короткий промежуток времени».

Реальное количество компаний, подвергшихся нападениям может оказаться намного больше, а ещё больше тех, которые ошибочно считают себя в безопасности.

Уязвимый компонент Telerik UI может входить в состав приложений ASP.NET, причем ни сами компании, ни разработчики этих приложений могут этого не осознавать. Между тем хакеры активно пользовались этим незнанием на протяжении прошлого года ещё до того, как информация о данной уязвимости стала достоянием общественности. Так, в конце апреля, Агентство национальной безопасности США (NSA) назвало Telerik UI CVE-2019-18935 одной из самых популярных уязвимостей для установки хакерами веб-оболочек на серверах.

Часто организации лишены возможности обновить свои уязвимые приложения. В этих случаях необходимо обеспечить блокировку попыток эксплуатации CVE-2019-18935 на уровне брандмауэра. Если нет и брандмауэра, нужно сканировать серверы и рабочие станции в поисках признаков атак Blue Mockingbird. Список таких признаков приводит в своём отчёте Red Canary.