Тысячи корпоративных серверов майнили криптовалюту Monero для хакеров

Согласно их информации, группа действует с декабря минувшего года, заразив за этот период времени тысячи корпоративных систем майнерами криптовалюты Monroe. Ученые пишут, что Blue Mockingbird атакует доступные из интернета серверы, на которых работают приложения ASP.NET, использующие уязвимые версии фремворка Telerik. Они выполняют атаки на созданные для клиентского взаимодействия сервера через приложения ASP.NET на базе фреймворка Telerik с уязвимостью CVE-2019-18935. С ее помощью злоумышленники получают веб-доступ к серверу, а после этого при помощи техники Juicy Potato получают управленческие права и меняют настройки сервера, чтобы при перезагрузке у хакеров оставался доступ к нему.

«Как любая ИБ-компания, мы видим только ограниченный участок ландшафта угроз, и не можем знать реальный диапазон данной угрозы», — пишут в Red Canary.

Кроме того, заражению подвергаются и внутренние системы компаний, ежели это может быть сделать, имея доступ к серверу. — Данная угроза, в частности, задела очень маленькую долю организации, чьи конечные точки мы отслеживаем.

«Эта угроза коснулась совсем маленького количества наблюдаемых организаций, но в этих компаниях количество заражений перевалило за 1 000, причем за короткое время».

Настоящее количество компаний, подвергшихся нападениям может оказаться намного больше, а еще больше тех, которые ошибочно считают себя в безопасности.

Red Canary советует проверить свои сервера на уязвимость CVE-2019-18935 и закрыть ее.

Уязвимый компонент Telerik UI может входить в состав приложений ASP.NET, причем ни сами компании, ни создатели этих приложений могут этого не осознавать. В основной массе случаев единственным методом предотвратить атаку является блокировка эксплуатации уязвимости на уровне брандмауэра. Список таковых признаков приводит в своём отчёте Red Canary.