数以千计的企业系统被新的蓝色知更鸟恶意软件团伙感染

2020-05-25 20:55:48

据信,数以千计的企业系统感染了一种加密货币挖掘恶意软件,该软件由一个代号为Blue Mockingbird的组织运营。

本月早些时候,云安全公司Red Canary的恶意软件分析师发现了蓝色嘲鸟组织,据信该组织自2019年12月以来一直活跃。

研究人员表示,Blue Mockingbird攻击运行ASP.NET应用程序的面向公众的服务器,这些应用程序使用Telerik框架作为其用户界面(UI)组件。

黑客利用CVE2019-18935漏洞在受攻击的服务器上植入Web外壳。然后,他们使用某个版本的多汁土豆技术来获得管理员级别的访问权限,并修改服务器设置以获得(重新)引导持久性。

一旦他们获得对系统的完全访问权限,他们就会下载并安装XMRRig的一个版本,XMRRig是Monero(XMR)加密货币的一个流行的加密货币挖掘应用程序。

红金丝雀专家表示,如果面向公众的IIS服务器连接到一家公司的内部网络,该组织还会试图通过安全性较弱的RDP(远程桌面协议)或SMB(服务器消息块)连接在内部传播。

在本月早些时候的一次电子邮件采访中,Red Canary告诉ZDNet,他们并没有全面了解这个僵尸网络的运作,但他们相信,仅凭他们有限的可见度,到目前为止,这个僵尸网络至少有1000人受到感染。

红金丝雀的一位发言人告诉我们,与任何安全公司一样,我们对威胁情况的可见性有限,无法准确了解这一威胁的全部范围。

这一威胁尤其影响了我们监控其端点的组织中的一小部分。然而,我们在这些组织中观察到了大约1000例感染,而且是在很短的时间内。

然而,红金丝雀说,受影响的公司数量可能要高得多,即使是那些认为安全的公司也有受到攻击的风险。

这是因为易受攻击的Telerik UI组件可能是在其最新版本上运行的ASP.NET应用程序的一部分,但是,Telerik组件可能有许多版本已过时,仍使公司面临攻击。

许多公司和开发人员可能甚至不知道Telerik UI组件是否是其应用程序的一部分,这再次使公司面临攻击。

自从关于漏洞的细节公之于众以来,这种混乱在过去一年里一直被攻击无情地利用。

例如,在4月下旬发布的一份公告中,美国国家安全局将Telerik UICVE-2019-18935漏洞列为用于在服务器上植入Web shell的利用最多的漏洞之一。

在上周发布的另一份安全公告中,澳大利亚网络安全中心(ACSC)还将Telerik UICVE-2019年-18935漏洞列为2019年和2020年攻击澳大利亚组织的利用最多的漏洞之一。

在许多情况下,组织可能无法选择更新其易受攻击的应用程序。在这些情况下,许多公司需要确保在其防火墙级别阻止针对CVE2019-18935的攻击企图。

如果他们没有网络防火墙,公司需要在服务器和工作站层面寻找妥协的迹象。在这里,红金丝雀发布了一份报告,其中列出了一些危害指标,公司可以用这些指标来扫描服务器和系统,以寻找蓝知更鸟攻击的迹象。

一如既往,我们发布此类信息的主要目的是帮助安全团队为可能被用来对付他们的威胁技术制定检测策略。Red Canary告诉ZDNet,通过这种方式,我们认为评估他们检测诸如基于COR_PROFILER的持久性和通过Telerik漏洞利用的初始访问的能力对于安全来说是很重要的。