据BleepingComputer网站6月15日消息,名为“BlueMockingbird”的攻击者针对TelerikUI漏洞破坏服务器,安装CobaltStrike信标,通过劫持系统资源来挖门罗币。攻击者利用的漏洞为CVE-2019-18935,这是一个严重的反序列化漏洞,CVSSv3.1评分为9.8,可导致远程执行TelerikUI库中的ASP.NETAJAX代码。2020年5月,BlueMockingbird使用同样的方法攻击了MicrosoftIIS服务器,此时距离供应商提供安全更新已有一年时间。可见,该漏洞已被攻击者多次利用,屡试不爽。要利用CVE-2019-18935漏洞,攻击者必须获得保护目标TelerikUI序列化的加密密钥,这可以通过利用目标Web应用程序中的另一个漏洞或使用CVE-2017-11317和CVE-2017-11357实现。一旦获得密钥,攻击者就可以编译一个恶意DLL,其中包含要在反序列化期间执行的代码,并在“w3wp.exe”进程的上下文中运行。BlueMockingbird最近的攻击链在网络安全公司Sophos发现的这次最近的攻击中,BlueMockingbird采用了一种现成的概念验证(PoC)漏洞,能够处理加密逻辑和自动执行DLL编译,使用的有效载荷是CobaltStrikebeacon,一种隐蔽的合法渗透测试工具,BlueMockingbird滥用它来执行编码的PowerShell命令。CobaltStrikeBeacon配置为了持久性,攻击者通过ActiveDirectory组策略对象(GPO)建立,该对象创建一个计划任务,该任务写入包含base64编码的PowerShell的新注册表项。该脚本使用常见的AMSI绕过技术来逃避WindowsDefender检测,以下载CobaltStrikeDLL并将其加载到内存中。第二阶段的可执行文件('crby26td.exe')是一个XMRigMiner,这是一个标准的开源加密货币矿工,用于挖掘门罗币,这是最难追踪的加密货币之一。CobaltStrike的部署为受感染网络内的轻松横向移动、数据泄露、帐户接管以及部署更强大的有效负载(如勒索软件)开辟了道路。参考来源:https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/
