Τρίτη, 1 Δεκεμβρίου, 12:38
Αρχική security Συσκευές Windows δέχονταν επιθέσεις από την ομάδα Blue Mockingbird

Συσκευές Windows δέχονταν επιθέσεις από την ομάδα Blue Mockingbird

Mockingbird

Η ομάδα hacking Blue Mockingbird, αναπτύσσει payload εξόρυξης κρυπτονομισμάτων Monero, σε υπολογιστές Internet-facing Windows πολλών οργανισμών, όπως ανακαλύφθηκε από τους ερευνητές ασφαλείας της Red Canary.

Όπως διαπιστώθηκε, η ομάδα δραστηριοποιείται από τον Δεκέμβριο του 2019 και χρησιμοποιεί πολλές τεχνικές για να παρακάμψει τις τεχνολογίες ασφαλείας.

Πώς δρούσε η ομάδα Blue Mockingbird;

Οι κακόβουλοι παράγοντες, εκμεταλλεύονταν διαδικτυακές εφαρμογές που χρησιμοποιούν το Telerik UI για ASP.NET AJAX, προκειμένου να αποκτήσουν πρόσβαση στα μηχανήματα.

Το Telerik UI είναι μια σουίτα διεπαφής χρήστη, που βοηθά στη διαδικασία ανάπτυξης του web. Η έκδοση 2019.3.1023 της σουίτας ωστόσο έχει μία ευπάθεια CVE-2019-18935, την οποία ανακάλυψε και εκμεταλλεύτηκε η ομάδα Blue Mockingbird, για να αποκτήσει πρόσβαση στο σύστημα και στη συνέχεια χρησιμοποίησε την τεχνική JuicyPotato, για να κλιμακώσει τα προνόμιά της.

Μόλις κατάφερνε να πάρει τον πλήρη έλεγχο της συσκευής, ανέπτυσσε μια δημοφιλή έκδοση του εργαλείου εξόρυξης Monero XMRIG ως DLL.

Όταν η μέθοδος COR_PROFILER διαμορφωνόταν, κάθε διαδικασία που φόρτωνε το Microsoft .NET Common Language Runtime, καθιέρωνε persistence.

Σε ορισμένες περιπτώσεις μάλιστα, οι hacker δημιουργούσαν ακόμη και μια νέα υπηρεσία για να εκτελέσει τις ίδιες ενέργειες με το COR_PROFILER payload.

Χρησιμοποιώντας τη μέθοδο JuicyPotato, η ομάδα hacking κλιμακώνει τα προνόμιά της από έναν εικονικό λογαριασμό IIS Application Pool Identity στον λογαριασμό NT Authority \ SYSTEM.

Στη συνέχεια, οι κακόβουλοι παράγοντες χρησιμοποιούν το RDP για να αναπτύξουν payload στα απομακρυσμένα συστήματα.

Πώς θα αποφύγετε μία τέτοια επίθεση;

Για να μετριάσετε τις επιθέσεις, συνιστάται η ενημέρωση των web server, των web εφαρμογών και των στοιχείων από τα οποία εξαρτώνται οι εφαρμογές. Το Red Canary δημοσίευσε επίσης μια λεπτομερή έκθεση που παρουσιάζει τους Δείκτες κινδύνου.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Πώς θα κρατήσετε ασφαλή τον Apple λογαριασμό σας

Ο λογαριασμός Apple ή αλλιώς το Apple ID, είναι απαραίτητος σε κάθε χρήστη καθώς επιτρέπει την πρόσβαση σε διάφορες συσκευές και υπηρεσίες...

Gootkit malware: Επιστρέφει και στοχεύει μαζί με το REvil τη Γερμανία!

Το Gootkit, ένα trojan που κλέβει πληροφορίες από τα συστήματα των θυμάτων του, κάνει την επανεμφάνισή του στο τοπίο των απειλών, ύστερα...

AspenPointe: Ο πάροχος υγειονομικής περίθαλψης των ΗΠΑ υπέστη data breach

Ο πάροχος υγειονομικής περίθαλψης των ΗΠΑ “AspenPointe” ενημέρωσε τους ασθενείς του για data breach που προήλθε από μία κυβερνοεπίθεση του Σεπτεμβρίου, με...

Βερμόντ: Τα νοσοκομεία του ακόμα ανακάμπτουν από την επίθεση του Ryuk ransomware

Τα νοσοκομεία του Βερμόντ συνεχίζουν να ανακάμπτουν από τον Οκτώβριο που υπέστησαν επίθεση από το Ryuk ransomware, επαναφέροντας σιγά-σιγά τις υπηρεσίες τους...

Αύξηση των malware που στοχεύουν Docker συστήματα

Προς το τέλος του 2017, οι ερευνητές ασφαλείας παρατήρησαν μια μεγάλη αλλαγή στις malware επιθέσεις. Καθώς οι τεχνολογίες που βασίζονται στο cloud...

Τέσσερις κορυφαίες ευπάθειες στα σημερινά αυτοκίνητα

Τα αυτοκίνητα στις μέρες μας, διαθέτουν αρκετά τεχνολογικά μέσα. Ακόμα και πριν βάλετε μπροστά το αυτοκίνητό σας, εκείνο επικοινωνεί ενεργά με τον...

WebKit: Ευπάθειες επιτρέπουν εκτέλεση κώδικα μέσω κακόβουλων sites

Σύμφωνα με τους ερευνητές ασφαλείας της Cisco Talos, το WebKit browser engine είναι αυτή τη στιγμή ευάλωτο...

ΗΠΑ: Πρώτες στον κόσμο στις παραβιάσεις δεδομένων

Σύμφωνα με μία αναφορά της Uswitch, οι ΗΠΑ κατέχουν την πρώτη θέση στις παραβιάσεις δεδομένων στον κόσμο, ξεπερνώντας την Κίνα, την Ινδία...

Microsoft: Συνδέει κρατικούς hackers του Βιετνάμ με crypto-mining εκστρατεία

Σύμφωνα με μια έκθεση της Microsoft, μια hacking ομάδα που συνδέεται με τη κυβέρνηση του Βιετνάμ, άρχισε να χρησιμοποιεί ένα crypto-mining malware...

Hackers από το Βιετνάμ χρησιμοποιούν νέο macOS backdoor

Οι ερευνητές της Trend Micro έχουν εντοπίσει ένα νέο macOS backdoor που πιστεύουν ότι χρησιμοποιείται από τη hacking ομάδα του Βιετνάμ, OceanLotus.