美國一家網絡安全公司的研究人員發現了一種新型的威脅,此威脅的終極目的是挖掘加密貨幣。
作者:超級盾來源:超級盾訂閱號|2020-05-14 09:39美國一家網絡安全公司的研究人員發現了一種新型的威脅,此威脅的終極目的是挖掘加密貨幣。
Red Canary Intel正在監視一個新威脅,他們將其稱為 Blue Mockingbird(譯名藍色知更鳥),因為它對多個組織進行了攻擊。
該名稱指的是類似活動的群集,其中涉及Windows系統上以動態連結庫(DLL)形式的Monero加密貨幣挖掘有效載荷。
Red Canary網絡事件響應團隊的情報分析師Tony Lambert說:「如果您擁有面向公眾的Web伺服器,那就應該對此有所關注。」
「觀察到的活動沒有針對性,並且可能在運行受Telerik支持的Web應用程式的任何Windows IIS伺服器上發生,該伺服器仍然容易受到CVE-2019-18935的攻擊。」
由於Telerik的整合方式,藍知更鳥的受害者可能沒有意識到他們已受到攻擊。
蘭伯特說:「受此CVE影響的一些組織不知道自己是否容易受到攻擊,因為Telerik普遍且不顯眼地內置在其他Web應用程式中,因此最好的方法是簡單地檢查IIS Web伺服器的Web訪問日誌以提及Telerik。
Red Canary研究人員指出,威脅參與者通過利用面向公眾的Web應用程式(特別是那些使用Telerik UI for ASP.NET的Web應用程式,然後通過多種技術執行和持久化)來實現初始訪問」。
獲得訪問權限後,該挖礦病毒將使用「遠程桌面協議」訪問特權系統,然後使用Windows資源管理器將其有效負載分發給儘可能多的遠程系統。
在受感染的計算機上,它會通過濫用合法且不經常使用的Windows功能COR_PROFILER來持久存在。
在一次的攻擊洩漏中,有人給被該挖礦病毒惡意洩露的帳戶提供了代理軟體,並嘗試使用不同種類的反向外殼有效載荷連接到外部系統。
研究人員說,他們觀察到的最早的「藍知更鳥」工具是去年12月形成的。蘭伯特說,發現威脅目標是醫療保健到IT服務提供商的眾多企業。
根據觀察到的眾多技術,Red Canary研究人員表示,Blue Mockingbird更可能為企業網絡而不是個人消費者帶來問題。
目標企業將看到受感染機器耗盡的計算資源,而IT或安全團隊則消除了來自受影響環境的威脅,從而承受了更大的壓力。
【責任編輯:
趙寧寧TEL:(010)68476606】