Blue Mockingbird Hacker Group attacca i computer Windows in più organizzazioni per distribuire crypto malware

Blue Mockingbird Hacker Group attacca i computer Windows in più organizzazioni per distribuire crypto malware

I ricercatori di sicurezza di Red Canary hanno scoperto il potenziale gruppo di hacker Blue Mockingbird che utilizza payload di criptovaluta e mining di Monero distribuiti sui computer Windows con accesso a Internet in più organizzazioni.

Il gruppo è risultato attivo da dicembre 2019 e utilizzano diverse tecniche per bypassare le tecnologie di sicurezza.

Campagna Blue Mockingbird

Per ottenere un accesso iniziale, gli aggressori sfruttano le applicazioni Web rivolte al pubblico quelle che utilizzano specificamente l'interfaccia utente di Telerik per ASP.NET AJAX.

L'interfaccia utente di Telerik è una suite di componenti dell'interfaccia utente che aiuta nel processo di sviluppo Web, versione 2019.3.1023 interessata dalla vulnerabilità della deserializzazione ( CVE-2019-18935 ).

Questa vulnerabilità è stata sfruttata da Blue Mockingbird per ottenere l'accesso iniziale al sistema e per intensificare i privilegi che utilizzano la tecnica JuicyPotato.

Una volta ottenuto l'accesso completo al sistema, implementano una versione popolare dello strumento XMRIG di Monero-mining impacchettato come DLL.

Poiché il metodo COR_PROFILER è stato configurato, ogni processo che carica Microsoft .NET Common Language Runtime stabilirà la persistenza.

In alcuni casi, l'attore ha persino creato un nuovo servizio per eseguire le stesse azioni del payload COR_PROFILER, si legge nel post sul blog di Red Canary.

Utilizzando l'exploit JuicyPotato, il gruppo di hacker aumenta i privilegi da un account virtuale Identità pool di applicazioni IIS all'account NT Authority \ SYSTEM.

Una volta inoltrato il privilegio a NT Authority \ SYSTEM, gli aggressori utilizzano RDP per distribuire payload sui sistemi remoti, in alcuni casi le attività sono state create in remoto.

Per mitigare gli attacchi, si consiglia di patchare i server Web, applicazioni Web e dipendenze delle applicazioni. Red Canary ha pubblicato un rapporto dettagliato con indicatori di compromesso.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.