安全公司Red Canary的研究人員發現了一個名為Blue Mockingbird的門羅幣加密貨幣開採活動,該活動利用了基於ASP.NET框架的Web應用程式中的CVE-2019-18935漏洞。
反序列化漏洞CVE-2019-18935可能被攻擊者利用以實現遠程代碼執行,它影響ASP.NET AJAX的Progress Telerik UI,並且在美國國家安全局和澳大利亞信號局(ASD)的聯合報告中也提到了該問題。)警告攻擊者越來越多地利用易受攻擊的Web伺服器來部署Web Shell。
僅當通過單獨的攻擊獲得加密密鑰時,才可以利用此問題,這意味著攻擊者必須在其活動中連結更多的攻擊。
「 Blue Mockingbird是我們在觀察到的一系列類似活動中使用的名稱,這些活動涉及Windows系統上動態連結庫(DLL)形式的Monero加密貨幣挖掘有效載荷。」 閱讀Red Canary專家發布的報告。「他們通過利用面向公眾的Web應用程式(特別是那些使用Telerik UI for ASP.NET的Web應用程式,然後通過多種技術執行和持久化)來實現初始訪問」
黑客將針對ASP.NET的Telerik UI的易受攻擊的版本作為目標,以將XMRig Monero挖掘有效負載部署為Windows系統上的DLL。專家還注意到,一旦破壞了系統,攻擊者就會嘗試橫向移動。
根據專家的說法,藍色知更鳥運動的歷史可以追溯到2019年12月,目前仍在進行中。
研究人員觀察到三種不同的用途:
用rundll32.exe執行,顯式調用DLL導出fackaaxv;使用/ s命令行選項使用regsvr32.exe執行;使用配置為Windows服務DLL的有效負載執行。分析繼續說:「每個有效載荷都附帶了一個常用的Monero採礦域的標準列表以及一個Monero錢包地址。」 「到目前為止,我們已經確定了Blue Mockingbird使用的兩個錢包地址正在積極流通。由於門羅幣的私人性質,我們看不到這些錢包的餘額來評估其成功。」
為了獲得持久性,攻擊者首先使用不同的技術提升特權(使用JuicyPotato漏洞將特權從IIS應用程式池身份虛擬帳戶升級為NT Authority \ SYSTEM帳戶,使用Mimikatz工具竊取訪問憑據)。
然後,攻擊者使用多種持久性技術,包括使用COR_PROFILER COM劫持來執行惡意DLL並恢復防禦者刪除的項目。
Blue Mockingbird威脅參與者通過提升特權並使用遠程桌面協議(RDP)訪問特權系統,並使用Windows資源管理器將惡意有效載荷部署到遠程系統來橫向移動。
研究人員推測,攻擊者的工具包仍在積極開發中。
「對於緩解措施,重點在於修補Web伺服器,Web應用程式以及應用程式的依賴項。Blue Mockingbird使用的大多數技術都會繞過白名單技術,因此最好的方法是禁止初始訪問。考慮在您的環境中建立Windows計劃任務的基準,以了解整個企業的正常情況。」 總結報告。
研究人員還在已發表的分析中包括了危害指標(IoC)。