Контакты
Подписка 2023
Формирование шорт-листа отечественных решений
Форум ITSEC: информационная и кибербезопасность России. 10-20 октября 2023
Жми, чтобы участвовать

Киберпреступники используют критическую уязвимость Telerik UI для майнинга Monero

17/06/22

monero mining3-2

Группировка Blue Mockingbird использовала уязвимость пользовательского интерфейса Telerik UI для компрометации серверов, установки маяков Cobalt Strike и майнинга Monero путем захвата системных ресурсов.

Blue Mockingbird использовала RCE-уязвимость CVE-2019-18935 с оценкой CVSS 9.8 в библиотеке Telerik UI для ASP.NET AJAX. Для использования CVE-2019-18935 группировка должна получить ключи шифрования, которые защищают сериализацию Telerik UI. Это возможно путем эксплуатации других ошибок CVE-2017-11317 и CVE-2017-11357, пишут в Securitylab.

После получения ключей Blue Mockingbird может скомпилировать вредоносный DLL-файл с кодом, который будет выполняться во время десериализации. Также группа может запустить DLL в контексте процесса «w3wp.exe».

Полезная нагрузка представляет собой маяк Cobalt Strike, который Blue Mockingbird использует для выполнения PowerShell-команд. Сценарий использует распространенные методы обхода AMSI ( Anti-Malware Scan Interface ), чтобы избежать обнаружения Защитником Windows при загрузке DLL Cobalt Strike в память.

Исполняемый файл второго этапа «crby26td.exe» представляет собой open-source майнер криптовалюты XMRig Miner, используемый для майнинга наименее отслеживаемой криптовалюты Monero.

Развертывание Cobalt Strike предоставляет киберпреступнику следующие возможности:

  • выполнять боковое перемещение внутри скомпрометированной сети;
  • осуществлять кражу данных;
  • захватывать учетные записи;
  • развертывать более опасные полезные нагрузки, например программы-вымогатели.

Пока неизвестно, заинтересована ли Blue Mockingbird в использовании этих сценариев, но пока группа специализируется исключительно на майнинге Monero.

Темы:майнингПреступленияCobalt StrikeMonero
11 октября 2023. Доверенные решения в области ИБ и импортозамещение в ключевых отраслях
11 октября 2023. Доверенные решения в области ИБ и импортозамещение в госсекторе и ключевых отраслях
Жми, чтобы участвовать

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
10 октября. Новые продукты для информационной безопасности
10 октября. Новые продукты для информационной безопасности
Жми, чтобы участвовать

Еще темы...