Κυριακή, 5 Ιουλίου, 06:59
Αρχική security Συσκευές Windows δέχονταν επιθέσεις από την ομάδα Blue Mockingbird

Συσκευές Windows δέχονταν επιθέσεις από την ομάδα Blue Mockingbird

Mockingbird

Η ομάδα hacking Blue Mockingbird, αναπτύσσει payload εξόρυξης κρυπτονομισμάτων Monero, σε υπολογιστές Internet-facing Windows πολλών οργανισμών, όπως ανακαλύφθηκε από τους ερευνητές ασφαλείας της Red Canary.

Όπως διαπιστώθηκε, η ομάδα δραστηριοποιείται από τον Δεκέμβριο του 2019 και χρησιμοποιεί πολλές τεχνικές για να παρακάμψει τις τεχνολογίες ασφαλείας.

Πώς δρούσε η ομάδα Blue Mockingbird;

Οι κακόβουλοι παράγοντες, εκμεταλλεύονταν διαδικτυακές εφαρμογές που χρησιμοποιούν το Telerik UI για ASP.NET AJAX, προκειμένου να αποκτήσουν πρόσβαση στα μηχανήματα.

Το Telerik UI είναι μια σουίτα διεπαφής χρήστη, που βοηθά στη διαδικασία ανάπτυξης του web. Η έκδοση 2019.3.1023 της σουίτας ωστόσο έχει μία ευπάθεια CVE-2019-18935, την οποία ανακάλυψε και εκμεταλλεύτηκε η ομάδα Blue Mockingbird, για να αποκτήσει πρόσβαση στο σύστημα και στη συνέχεια χρησιμοποίησε την τεχνική JuicyPotato, για να κλιμακώσει τα προνόμιά της.

Μόλις κατάφερνε να πάρει τον πλήρη έλεγχο της συσκευής, ανέπτυσσε μια δημοφιλή έκδοση του εργαλείου εξόρυξης Monero XMRIG ως DLL.

Όταν η μέθοδος COR_PROFILER διαμορφωνόταν, κάθε διαδικασία που φόρτωνε το Microsoft .NET Common Language Runtime, καθιέρωνε persistence.

Σε ορισμένες περιπτώσεις μάλιστα, οι hacker δημιουργούσαν ακόμη και μια νέα υπηρεσία για να εκτελέσει τις ίδιες ενέργειες με το COR_PROFILER payload.

Χρησιμοποιώντας τη μέθοδο JuicyPotato, η ομάδα hacking κλιμακώνει τα προνόμιά της από έναν εικονικό λογαριασμό IIS Application Pool Identity στον λογαριασμό NT Authority \ SYSTEM.

Στη συνέχεια, οι κακόβουλοι παράγοντες χρησιμοποιούν το RDP για να αναπτύξουν payload στα απομακρυσμένα συστήματα.

Πώς θα αποφύγετε μία τέτοια επίθεση;

Για να μετριάσετε τις επιθέσεις, συνιστάται η ενημέρωση των web server, των web εφαρμογών και των στοιχείων από τα οποία εξαρτώνται οι εφαρμογές. Το Red Canary δημοσίευσε επίσης μια λεπτομερή έκθεση που παρουσιάζει τους Δείκτες κινδύνου.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

COVID-19: Νέα έρευνα αναζητά αντισώματα στους αιμοδότες

H American Red Cross εξετάζει το αίμα που έχει προέλθει από δωρεές, και ψάχνει για αντισώματα του COVID-19 που θα της δώσουν...

Ψηφιακός μετασχηματισμός και επιχειρήσεις: Τι σημαίνει η αποτυχία του;

Ο ψηφιακός μετασχηματισμός αποτελεί συνήθως για τις επιχειρήσεις ένα μέσο για να ξεπεράσουν τους ανταγωνιστές τους και να απαλλαγούν από μεθόδους που...

Covaxin: Η Ινδία κυκλοφορεί εμβόλιο για τον COVID-19 τον Αύγουστο

Ολόκληρος ο πλανήτης αναμένει την κυκλοφορία του εμβολίου για τον κορωνοϊό, ενώ οι κλινικές δοκιμές έχουν ξεκινήσει σε πολλές χώρες του κόσμου....

iOS 13.5.1: Χρήστες iPhone αναφέρουν προβλήματα με τη μπαταρία

Έχετε παρατηρήσει τον τελευταίο καιρό κάποια αλλαγή στο iPhone σας; Μήπως, για παράδειγμα τελειώνει γρήγορα η μπαταρία...

Avaddon ransomware: Επιτίθεται μέσα από τις μακροεντολές του Excel 4.0

Η Microsoft ανακοίνωσε χθες ότι το Avaddon ransomware εξαπλώθηκε αυτήν την εβδομάδα μέσω μιας παλιάς τεχνικής που ξανά ήρθε στο προσκήνιο. Οι...

Apple: Απαγορεύει την ενημέρωση Κινέζικων Apps χωρίς άδεια

Η Apple απαγορεύει στους προγραμματιστές να ενημερώσουν τις υπάρχουσες εφαρμογές του App Store της Κίνας αν δεν έχουν την έγκριση της κυβέρνησης.

Αυστραλία: Χιλιάδες λογαριασμοί του MyGov πωλούνται στο Dark Web

Οι προσβάσεις περισσότερων από 3600 λογαριασμών MyGov πωλούνται στο dark web, εκθέτοντας δυνητικά χιλιάδες Αυστραλούς σε απάτες και κλοπές ταυτοτήτων.
00:03:03

Party Time: Δείτε TV με τους φίλους σας στο διαδίκτυο

Party Time: Δείτε TV με τους φίλους σας στο διαδίκτυο Ώρα για ένα διαφορετικό party από όσα έχετε συνηθίσει, βλέποντας τις αγαπημένες...

CISA και FBI προειδοποιούν τις επιχειρήσεις για τους κινδύνους του Tor

Το Cybersecurity and Infrastructure Security Agency  (CISA) και το Federal Bureau of Investigation (FBI) εξέδωσαν μία προειδοποίηση προς τις επιχειρήσεις σχετικά με...

openSUSE: Κυκλοφόρησε η νέα στεθερή έκδοση Leap 15.2

Πρόσφατα, κυκλοφόρησε η επόμενη σταθερή έκδοση του λειτουργικού συστήματος openSUSE. Σύμφωνα με την ομάδα ανάπτυξης του λειτουργικού,...