美国一家网络安全公司的研究人员发现了一种新型威胁,其最终目标是挖取加密货币。RedCanaryIntel正在监控一种新威胁,他们将其称为BlueMockingbird,因为它攻击多个组织。该名称指的是一组类似的活动,涉及Windows系统上以动态链接库(DLL)形式存在的Monero加密货币挖掘有效载荷。“如果你有一个面向公众的网络服务器,那就是你应该关心的事情,”红金丝雀网络事件响应小组的情报分析师托尼兰伯特说。发生在任何WindowsIIS服务器上的Web应用程序仍然容易受到CVE-2019-18935的攻击。”由于Telerik的集成方式,Bluebird的受害者可能没有意识到他们已经受到损害。“一些受此CVE影响的组织不不知道它们是否容易受到攻击,因为Telerik无处不在且不引人注目地内置到其他Web应用程序中,因此最好的方法是简单地检查IISWeb服务器的Web访问日志以提及Telerik。RedCanary研究人员指出,威胁行为者利用面向公众的Web应用程序(特别是那些使用TelerikUIforASP.NET,然后通过各种技术执行和持久化的应用程序)来实现初始访问。一旦获得访问权限,矿工就会使用远程桌面协议以访问特权系统,然后使用Windows资源管理器将其有效负载分发到尽可能多的远程系统。在受感染的计算机上,它通过滥用合法且不常用的Windows功能COR_PROFILER持续存在。在一次攻击泄漏中,有人向被挖矿病毒恶意破坏的账户提供代理软件,并试图使用不同类型的反向shell有效载荷连接到外部系统。研究人员说,他们观察到的最早的蓝鸟工具是去年12月形成的。Lambert说发现威胁针对的是从医疗保健到IT服务提供商的广泛业务。基于观察到的众多技术,RedCanary研究支持者表示,与个人消费者相比,BlueMockingbird更可能给企业网络带来问题。目标企业将看到计算资源从受感染的机器中耗尽,而IT或安全团队面临越来越大的压力来消除来自受影响环境的威胁。
