ΑρχικήsecurityΣυσκευές Windows δέχονταν επιθέσεις από την ομάδα Blue Mockingbird

Συσκευές Windows δέχονταν επιθέσεις από την ομάδα Blue Mockingbird

Mockingbird

Η ομάδα hacking Blue Mockingbird, αναπτύσσει payload εξόρυξης κρυπτονομισμάτων Monero, σε υπολογιστές Internet-facing Windows πολλών οργανισμών, όπως ανακαλύφθηκε από τους ερευνητές ασφαλείας της Red Canary.

Όπως διαπιστώθηκε, η ομάδα δραστηριοποιείται από τον Δεκέμβριο του 2019 και χρησιμοποιεί πολλές τεχνικές για να παρακάμψει τις τεχνολογίες ασφαλείας.

Πώς δρούσε η ομάδα Blue Mockingbird;

Οι κακόβουλοι παράγοντες, εκμεταλλεύονταν διαδικτυακές εφαρμογές που χρησιμοποιούν το Telerik UI για ASP.NET AJAX, προκειμένου να αποκτήσουν πρόσβαση στα μηχανήματα.

Το Telerik UI είναι μια σουίτα διεπαφής χρήστη, που βοηθά στη διαδικασία ανάπτυξης του web. Η έκδοση 2019.3.1023 της σουίτας ωστόσο έχει μία ευπάθεια CVE-2019-18935, την οποία ανακάλυψε και εκμεταλλεύτηκε η ομάδα Blue Mockingbird, για να αποκτήσει πρόσβαση στο σύστημα και στη συνέχεια χρησιμοποίησε την τεχνική JuicyPotato, για να κλιμακώσει τα προνόμιά της.

Μόλις κατάφερνε να πάρει τον πλήρη έλεγχο της συσκευής, ανέπτυσσε μια δημοφιλή έκδοση του εργαλείου εξόρυξης Monero XMRIG ως DLL.

Όταν η μέθοδος COR_PROFILER διαμορφωνόταν, κάθε διαδικασία που φόρτωνε το Microsoft .NET Common Language Runtime, καθιέρωνε persistence.

Σε ορισμένες περιπτώσεις μάλιστα, οι hacker δημιουργούσαν ακόμη και μια νέα υπηρεσία για να εκτελέσει τις ίδιες ενέργειες με το COR_PROFILER payload.

Χρησιμοποιώντας τη μέθοδο JuicyPotato, η ομάδα hacking κλιμακώνει τα προνόμιά της από έναν εικονικό λογαριασμό IIS Application Pool Identity στον λογαριασμό NT Authority \ SYSTEM.

Στη συνέχεια, οι κακόβουλοι παράγοντες χρησιμοποιούν το RDP για να αναπτύξουν payload στα απομακρυσμένα συστήματα.

Πώς θα αποφύγετε μία τέτοια επίθεση;

Για να μετριάσετε τις επιθέσεις, συνιστάται η ενημέρωση των web server, των web εφαρμογών και των στοιχείων από τα οποία εξαρτώνται οι εφαρμογές. Το Red Canary δημοσίευσε επίσης μια λεπτομερή έκθεση που παρουσιάζει τους Δείκτες κινδύνου.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS