Группировка Blue Mockingbird взламывает серверы Microsoft IIS и майнит на них Monero

    image

    Аналитики Red Canary выяснили, что группировка хакеров Blue Mockingbird с конца 2019 года смогла взломать тысячи корпоративных систем. Зараженные системы использовали для майнинга криптовалюты Monero.

    Хакеры атаковали общедоступные IIS-серверы от Microsoft, на которых работают приложения ASP.NET с уязвимыми версиями фреймворка Telerik. Уязвимость CVE-2019-18935 (Remote Desktop Protocol, уязвимость протокола удалённого рабочего стола в Windows) позволяет устанавливать на них веб-шеллы. Затем с помощью Juicy Potato хакеры получали привилегии администратора, меняли настройки сервера и обеспечивали себе постоянное присутствие в системе, используя слабо защищенные RDP и SMB. На взломанные машины устанавливался майнер XMRRig.

    «Как любая ИБ-компания, мы видим лишь ограниченный участок ландшафта угроз, и не можем знать точный масштаб данной угрозы. В частности, эта угроза затронула лишь небольшой процент организаций, чьи эндпоинты мы отслеживаем. Однако мы зафиксировали около 1000 случаев заражения в этих организациях за короткий промежуток времени­», — отметили в Red Canary.

    Опасность данного вида атак состоит в том, что приложения ASP.NET работают с новейшим ПО. Однако их версия Telerik может быть устаревшей. При этом ИТ-специалисты компаний могут даже не знать о том, что в составе их приложений присутствует этот фреймворк. В официальных рекомендациях Telerik перечислены комплексные сценарии использования уязвимости и соответствующие рекомендации по исправлению.

    Аналитик Emsisoft Бретт Каллоу порекомендовал такие шаги: «Компании могут значительно снизить риски, следуя хорошо зарекомендовавшим себя правилам. Например, своевременно устанавливать патчи, использовать многофакторную аутентификацию (MFA), отключать PowerShell (инструмент внесения скриптов), когда в нём нет необходимости, и т.д.».
    См. также:

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 2

      –1
      отключать PowerShell (инструмент внесения скриптов)

      Ну не знаю… говорят ps — это будущее

        +1
        Мастерство заголовка на 12 баллов. Проблема широко известных (правда в очень-очень узких кругах) контролов, которая реализуется при наличии в сервере IIS дырки из 2017 года — ну такое. Непонятно что форсится в статье Telerik ui или группа blue mockingbird.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое