Ο κακόβουλος παράγοντας «Blue Mockingbird», εκμεταλλεύεται ευπάθειες του Telerik UI, που υπάρχουν εδώ και τρία χρόνια, για να παραβιάσει διακομιστές, να εγκαταστήσει beacons Cobalt Strike και να εξορύξει Monero, καταπατώντας πόρους του συστήματος.
Δείτε επίσης: Cobalt Strike: Fake exploits των Windows στοχεύουν ερευνητές ασφαλείας
Το ελάττωμα που εκμεταλλεύεται ο εισβολέας είναι το CVE-2019-18935, που επιτρέπει απομακρυσμένη εκτέλεση κώδικα στη βιβλιοθήκη Telerik UI για ASP.NET AJAX.
Ο ίδιος κακόβουλος παράγοντας στοχεύει επίσης ευάλωτους διακομιστές Microsoft IIS, που χρησιμοποιούσαν τη διεπαφή χρήστη Telerik τον Μάιο του 2020, οπότε είχε περάσει ένας χρόνος από τη διάθεση των ενημερώσεων ασφαλείας από τον προμηθευτή.
Παραδόξως, οι ερευνητές της Sophos ανέφεραν ότι ο Blue Mockingbird εξακολουθεί να αξιοποιεί το ίδιο ελάττωμα για να εξαπολύσει κυβερνοεπιθέσεις, σύμφωνα με τα δεδομένα ανίχνευσης.
Για να εκμεταλλευτούν το CVE-2019-18935, οι εισβολείς πρέπει να αποκτήσουν τα κλειδιά κρυπτογράφησης που προστατεύουν τη σειριοποίηση του Telerik UI. Αυτό είναι δυνατό είτε με την εκμετάλλευση μιας άλλης ευπάθειας στην εφαρμογή ιστού προορισμού είτε χρησιμοποιώντας τα CVE-2017-11317 και CVE-2017-11357.
Εξακολουθούν να υπάρχουν στόχοι διαθέσιμοι για εκμετάλλευση, επειδή πολλές εφαρμογές Ιστού ήταν έργα που ενσωμάτωσαν την έκδοση πλαισίου διεπαφής χρήστη Telerik, που ήταν διαθέσιμη τη στιγμή της ανάπτυξής τους και στη συνέχεια διακόπηκαν.
Δείτε ακόμα: Ουκρανία: Ψεύτικες ενημερώσεις ασφαλείας εγκαθιστούν το Cobalt Strike
Μόλις αποκτηθούν τα κλειδιά, οι εισβολείς μπορούν να μεταγλωττίσουν ένα κακόβουλο DLL που περιέχει τον κώδικα που πρόκειται να εκτελεστεί κατά τη διάρκεια της αποσειροποίησης και να το εκτελέσουν στο πλαίσιο της διαδικασίας «w3wp.exe».
Στις πρόσφατες επιθέσεις που εντόπισε η Sophos, ο Blue Mockingbird χρησιμοποιεί ένα άμεσα διαθέσιμο exploit, το οποίο χειρίζεται τη λογική κρυπτογράφησης και αυτοματοποιεί τη συλλογή DLL.
Το ωφέλιμο φορτίο που χρησιμοποιήθηκε στις πρόσφατες επιθέσεις είναι ένα Cobalt Strike, ένα κρυφό, νόμιμο εργαλείο δοκιμής διείσδυσης που καταχράται ο Blue Mockingbird για την εκτέλεση κωδικοποιημένων εντολών PowerShell.
Το Persistence δημιουργείται μέσω των Αντικειμένων Πολιτικής Ομάδας της Active Directory (GPO), τα οποία δημιουργούν προγραμματισμένες εργασίες γραμμένες σε ένα νέο κλειδί μητρώου που περιέχει το PowerShell με κωδικοποίηση base64.
Το σενάριο χρησιμοποιεί κοινές τεχνικές παράκαμψης AMSI για να αποφύγει τον εντοπισμό του Windows Defender για λήψη και φόρτωση ενός Cobalt Strike DLL στη μνήμη.
Το εκτελέσιμο αρχείο δεύτερου σταδίου («crby26td.exe») είναι ένα XMRig Miner, ένας τυπικός miner κρυπτονομισμάτων ανοιχτού κώδικα, που χρησιμοποιείται για την εξόρυξη του Monero, ενός από τα λιγότερο ανιχνεύσιμα κρυπτονομίσματα.
Δείτε επίσης: NSA και FBI: Ποια ελαττώματα χρησιμοποιούν οι χάκερ για να στοχεύσουν VPNs
Αυτός ήταν και ο κύριος στόχος της καμπάνιας του κακόβουλου παράγοντα για το 2020, επομένως δεν έχουν αλλάξει πολλά σε ολόκληρη την αλυσίδα επίθεσης, τις τεχνικές και τους στόχους.
Ωστόσο, η ανάπτυξη του Cobalt Strike ανοίγει το δρόμο για εύκολη πλευρική μετακίνηση εντός του παραβιασμένου δικτύου, εξαγωγή δεδομένων, εξαγορά λογαριασμού και ανάπτυξη πιο ισχυρών ωφέλιμων φορτίων, όπως το ransomware.
