По данным аналитиков Red Canary, недавно обнаруженная хак-группа Blue Mockingbird активна с конца 2019 года и уже взломала тысячи корпоративных систем. Исследователи пишут, что Blue Mockingbird атакует доступные из интернета серверы, на которых работают приложения ASP.NET, использующие уязвимые версии фремворка Telerik.
Против таких серверов хакеры используют уязвимость CVE-2019-18935 и устанавливают на них веб-шеллы. Затем злоумышленники прибегаю к помощи Juicy Potato, чтобы получить привилегии администратора, изменить настройки сервера и обеспечить себе постоянное присутствие в системе. В конечном итоге хакеры устанавливают на взломанные машины майнер XMRRig для добычи криптовалюты Monero (XMR).
Эксперты Red Canary отмечают, что если общедоступные IIS-серверы подключены к внутренней сети компании, хакеры попытаются распространить свою атаку и на внутренние системы, используя слабо защищенные RDP и SMB.
Специалисты признают, что пока у них нет полной картины активности этого ботнета, но они считают, что группировка Blue Mockingbird уже заразила как минимум 1000 систем. Так как этот вывод базируется на тех ограниченных данных, что доступны аналитикам, реальное количество заражений наверняка превышает этот прогноз.
«Как любая ИБ-компания, мы видим лишь ограниченный участок ландшафта угроз, и не можем знать точный масштаб данной угрозы, — пишут в Red Canary. — В частности, эта угроза затронула лишь небольшой процент организаций, чьи эндпоинты мы отслеживаем. Однако мы зафиксировали около 1000 случаев заражения в этих организациях за короткий промежуток времени».
Основная опасность этой вредоносной кампании состоит в том, что уязвимый UI Telerik может быть частью приложений ASP.NET, которые работают с новейшими и актуальными версиями ПО, но сам компонент Telerik при этом может быть серьезно «просрочен», тем самым подвергая компании рискам атак. К сожалению, многие компании и разработчики могут вообще не знать о том, что UI Telerik присутствует в составе их приложений, что опять же подвергает их риску.
Напомню, что об опасности уязвимости в UI Telerik (CVE-2019-18935) недавно предупреждало Агентство национальной безопасности США, назвав его одной из наиболее используемых для установки веб-шеллов проблем. Также в мае 2020 года Австралийский центр кибербезопасности включил эту уязвимость в список наиболее эксплуатируемых багов, которые использовались для атак на австралийские организации в 2019 и 2020 годах.
Так как зачастую компании вообще не имеют возможности обновить уязвимые приложения, им рекомендуется защищаться от попыток эксплуатации CVE-2019-18935 на уровне брандмауэра.
