安全公司Red Canary的研究人员发现了一个名为Blue Mockingbird的门罗币加密货币开采活动,该活动利用了基于ASP.NET框架的Web应用程序中的CVE-2019-18935漏洞。
反序列化漏洞CVE-2019-18935可能被攻击者利用以实现远程代码执行,它影响ASP.NET AJAX的Progress Telerik UI,并且在美国国家安全局和澳大利亚信号局(ASD)的联合报告中也提到了该问题。)警告攻击者越来越多地利用易受攻击的Web服务器来部署Web Shell。
仅当通过单独的攻击获得加密密钥时,才可以利用此问题,这意味着攻击者必须在其活动中链接更多的攻击。
“ Blue Mockingbird是我们在观察到的一系列类似活动中使用的名称,这些活动涉及Windows系统上动态链接库(DLL)形式的Monero加密货币挖掘有效载荷。” 阅读Red Canary专家发布的报告。“他们通过利用面向公众的Web应用程序(特别是那些使用Telerik UI for ASP.NET的Web应用程序,然后通过多种技术执行和持久化)来实现初始访问”
黑客将针对ASP.NET的Telerik UI的易受攻击的版本作为目标,以将XMRig Monero挖掘有效负载部署为Windows系统上的DLL。专家还注意到,一旦破坏了系统,攻击者就会尝试横向移动。
根据专家的说法,蓝色知更鸟运动的历史可以追溯到2019年12月,目前仍在进行中。
研究人员观察到三种不同的用途:
用rundll32.exe执行,显式调用DLL导出fackaaxv;使用/ s命令行选项使用regsvr32.exe执行;使用配置为Windows服务DLL的有效负载执行。分析继续说:“每个有效载荷都附带了一个常用的Monero采矿域的标准列表以及一个Monero钱包地址。” “到目前为止,我们已经确定了Blue Mockingbird使用的两个钱包地址正在积极流通。由于门罗币的私人性质,我们看不到这些钱包的余额来评估其成功。”
为了获得持久性,攻击者首先使用不同的技术提升特权(使用JuicyPotato漏洞将特权从IIS应用程序池身份虚拟帐户升级为NT Authority \ SYSTEM帐户,使用Mimikatz工具窃取访问凭据)。
然后,攻击者使用多种持久性技术,包括使用COR_PROFILER COM劫持来执行恶意DLL并恢复防御者删除的项目。
Blue Mockingbird威胁参与者通过提升特权并使用远程桌面协议(RDP)访问特权系统,并使用Windows资源管理器将恶意有效载荷部署到远程系统来横向移动。
研究人员推测,攻击者的工具包仍在积极开发中。
“对于缓解措施,重点在于修补Web服务器,Web应用程序以及应用程序的依赖项。Blue Mockingbird使用的大多数技术都会绕过白名单技术,因此最好的方法是禁止初始访问。考虑在您的环境中建立Windows计划任务的基准,以了解整个企业的正常情况。” 总结报告。
研究人员还在已发表的分析中包括了危害指标(IoC)。
