Киберпреступники используют критическую уязвимость Telerik UI для майнинга Monero

Cobalt Strike Monero Telerik asp.net blue mockingbird
А также для установки маяков Cobalt Strike

Киберпреступники используют критическую уязвимость Telerik UI для майнинга Monero

Группировка Blue Mockingbird использовала уязвимость пользовательского интерфейса Telerik UI для компрометации серверов, установки маяков Cobalt Strike и майнинга Monero путем захвата системных ресурсов.
Blue Mockingbird использовала RCE-уязвимость CVE-2019-18935 с оценкой CVSS 9.8 в библиотеке Telerik UI для ASP.NET AJAX. Для использования CVE-2019-18935 группировка должна получить ключи шифрования, которые защищают сериализацию Telerik UI. Это возможно путем эксплуатации других ошибок CVE-2017-11317 и CVE-2017-11357 .
После получения ключей Blue Mockingbird может скомпилировать вредоносный DLL-файл с кодом, который будет выполняться во время десериализации. Также группа может запустить DLL в контексте процесса «w3wp.exe».
Полезная нагрузка представляет собой маяк Cobalt Strike, который Blue Mockingbird использует для выполнения PowerShell-команд. Сценарий использует распространенные методы обхода AMSI ( Anti-Malware Scan Interface ), чтобы избежать обнаружения Защитником Windows при загрузке DLL Cobalt Strike в память.
Исполняемый файл второго этапа «crby26td.exe» представляет собой open-source майнер криптовалюты XMRig Miner, используемый для майнинга наименее отслеживаемой криптовалюты Monero .
Развертывание Cobalt Strike предоставляет киберпреступнику следующие возможности:
выполнять боковое перемещение внутри скомпрометированной сети;
осуществлять кражу данных;
захватывать учетные записи;
развертывать более опасные полезные нагрузки, например программы-вымогатели.
Пока неизвестно, заинтересована ли Blue Mockingbird в использовании этих сценариев, но пока группа специализируется исключительно на майнинге Monero.

SECURITYLAB.RU

Источник