Аналитики Red Canary выяснили, что группировка хакеров Blue Mockingbird с конца 2019 года смогла взломать тысячи корпоративных систем. Зараженные системы использовали для майнинга криптовалюты Monero.
Хакеры атаковали общедоступные IIS-серверы от Microsoft, на которых работают приложения ASP.NET с уязвимыми версиями фреймворка Telerik. Уязвимость CVE-2019-18935 (Remote Desktop Protocol, уязвимость протокола удалённого рабочего стола в Windows) позволяет устанавливать на них веб-шеллы. Затем с помощью Juicy Potato хакеры получали привилегии администратора, меняли настройки сервера и обеспечивали себе постоянное присутствие в системе, используя слабо защищенные RDP и SMB. На взломанные машины устанавливался майнер XMRRig.
«Как любая ИБ-компания, мы видим лишь ограниченный участок ландшафта угроз, и не можем знать точный масштаб данной угрозы. В частности, эта угроза затронула лишь небольшой процент организаций, чьи эндпоинты мы отслеживаем. Однако мы зафиксировали около 1000 случаев заражения в этих организациях за короткий промежуток времени», — отметили в Red Canary.
Опасность данного вида атак состоит в том, что приложения ASP.NET работают с новейшим ПО. Однако их версия Telerik может быть устаревшей. При этом ИТ-специалисты компаний могут даже не знать о том, что в составе их приложений присутствует этот фреймворк. В официальных рекомендациях Telerik перечислены комплексные сценарии использования уязвимости и соответствующие рекомендации по исправлению.
Аналитик Emsisoft Бретт Каллоу порекомендовал такие шаги: «Компании могут значительно снизить риски, следуя хорошо зарекомендовавшим себя правилам. Например, своевременно устанавливать патчи, использовать многофакторную аутентификацию (MFA), отключать PowerShell (инструмент внесения скриптов), когда в нём нет необходимости, и т.д.».
См. также: