Как стать автором
Обновить

Группировка Blue Mockingbird взламывает серверы Microsoft IIS и майнит на них Monero

Время на прочтение2 мин
Количество просмотров3.6K
image

Аналитики Red Canary выяснили, что группировка хакеров Blue Mockingbird с конца 2019 года смогла взломать тысячи корпоративных систем. Зараженные системы использовали для майнинга криптовалюты Monero.

Хакеры атаковали общедоступные IIS-серверы от Microsoft, на которых работают приложения ASP.NET с уязвимыми версиями фреймворка Telerik. Уязвимость CVE-2019-18935 (Remote Desktop Protocol, уязвимость протокола удалённого рабочего стола в Windows) позволяет устанавливать на них веб-шеллы. Затем с помощью Juicy Potato хакеры получали привилегии администратора, меняли настройки сервера и обеспечивали себе постоянное присутствие в системе, используя слабо защищенные RDP и SMB. На взломанные машины устанавливался майнер XMRRig.

«Как любая ИБ-компания, мы видим лишь ограниченный участок ландшафта угроз, и не можем знать точный масштаб данной угрозы. В частности, эта угроза затронула лишь небольшой процент организаций, чьи эндпоинты мы отслеживаем. Однако мы зафиксировали около 1000 случаев заражения в этих организациях за короткий промежуток времени­», — отметили в Red Canary.

Опасность данного вида атак состоит в том, что приложения ASP.NET работают с новейшим ПО. Однако их версия Telerik может быть устаревшей. При этом ИТ-специалисты компаний могут даже не знать о том, что в составе их приложений присутствует этот фреймворк. В официальных рекомендациях Telerik перечислены комплексные сценарии использования уязвимости и соответствующие рекомендации по исправлению.

Аналитик Emsisoft Бретт Каллоу порекомендовал такие шаги: «Компании могут значительно снизить риски, следуя хорошо зарекомендовавшим себя правилам. Например, своевременно устанавливать патчи, использовать многофакторную аутентификацию (MFA), отключать PowerShell (инструмент внесения скриптов), когда в нём нет необходимости, и т.д.».
См. также:

Теги:
Хабы:
Всего голосов 8: ↑8 и ↓0+8
Комментарии2

Другие новости

Истории

Работа

Ближайшие события

7 – 8 ноября
Конференция byteoilgas_conf 2024
МоскваОнлайн
7 – 8 ноября
Конференция «Матемаркетинг»
МоскваОнлайн
15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань