Киберпреступники используют критическую уязвимость Telerik UI для майнинга Monero

А также для установки маяков Cobalt Strike

Группировка Blue Mockingbird использовала уязвимость пользовательского интерфейса Telerik UIдля компрометации серверов, установки маяков Cobalt Strike и майнинга Monero путем захвата системных ресурсов.

Blue Mockingbird использовала RCE-уязвимость CVE-2019-18935 с оценкой CVSS 9.8 в библиотеке Telerik UIдля ASP.NET AJAX. Для использования CVE-2019-18935 группировка должна получить ключи шифрования, которые защищают сериализацию Telerik UI. Это возможно путем эксплуатации других ошибок CVE-2017-11317 и CVE-2017-11357.

После получения ключей Blue Mockingbird может скомпилировать вредоносный DLL-файл с кодом, который будет выполняться во время десериализации. Также группа может запустить DLLв контексте процесса «w3wp.exe».

Полезная нагрузка представляет собой маяк Cobalt Strike, который Blue Mockingbird использует для выполнения PowerShell-команд. Сценарий использует распространенные методы обхода AMSI ( Anti-Malware Scan Interface), чтобы избежать обнаружения Защитником Windows при загрузке DLL Cobalt Strike в память.

Исполняемый файл второго этапа «crby26td.exe»представляет собой open-sourceмайнер криптовалюты XMRig Miner, используемый для майнинга наименее отслеживаемой криптовалюты Monero.

Развертывание Cobalt Strike предоставляет киберпреступнику следующие возможности:

• выполнять боковое перемещениевнутри скомпрометированной сети;
• осуществлять кражу данных;
• захватывать учетные записи;
• развертывать более опасные полезные нагрузки, например программы-вымогатели.

Пока неизвестно, заинтересована ли Blue Mockingbird в использовании этих сценариев, но пока группа специализируется исключительно на майнинге Monero.

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!