Blue Mockingbird Hacker Group attacca i computer Windows in più organizzazioni per distribuire crypto malware
26 Maggio 2020 - Tempo di lettura: 5 minuti
I ricercatori di sicurezza di Red Canary hanno scoperto il potenziale gruppo di hacker Blue Mockingbird che utilizza payload di criptovaluta e mining di Monero distribuiti sui computer Windows con accesso a Internet in più organizzazioni.
Il gruppo è risultato attivo da dicembre 2019 e utilizzano diverse tecniche per bypassare le tecnologie di sicurezza.
Campagna Blue Mockingbird
Per ottenere un accesso iniziale, gli aggressori sfruttano le applicazioni Web rivolte al pubblico quelle che utilizzano specificamente l'interfaccia utente di Telerik per ASP.NET AJAX.
L'interfaccia utente di Telerik è una suite di componenti dell'interfaccia utente che aiuta nel processo di sviluppo Web, versione 2019.3.1023 interessata dalla vulnerabilità della deserializzazione ( CVE-2019-18935 ).
Questa vulnerabilità è stata sfruttata da Blue Mockingbird per ottenere l'accesso iniziale al sistema e per intensificare i privilegi che utilizzano la tecnica JuicyPotato.
Una volta ottenuto l'accesso completo al sistema, implementano una versione popolare dello strumento XMRIG di Monero-mining impacchettato come DLL.
Poiché il metodo COR_PROFILER è stato configurato, ogni processo che carica Microsoft .NET Common Language Runtime stabilirà la persistenza.
In alcuni casi, l'attore ha persino creato un nuovo servizio per eseguire le stesse azioni del payload COR_PROFILER, si legge nel post sul blog di Red Canary.
Utilizzando l'exploit JuicyPotato, il gruppo di hacker aumenta i privilegi da un account virtuale Identità pool di applicazioni IIS all'account NT Authority \ SYSTEM.
Una volta inoltrato il privilegio a NT Authority \ SYSTEM, gli aggressori utilizzano RDP per distribuire payload sui sistemi remoti, in alcuni casi le attività sono state create in remoto.
Per mitigare gli attacchi, si consiglia di patchare i server Web, applicazioni Web e dipendenze delle applicazioni. Red Canary ha pubblicato un rapporto dettagliato con indicatori di compromesso.
