Unternehmensnetzwerke werden von einem kriminellen Kollektiv namens Blue Mockinbird angegriffen, ein Codename, der verwendet wird, um auf sie zu verweisen. Die Kampagne wurde gerade erkannt, ist jedoch seit mindestens Dezember aktiv 2019. Die Hacker nutzen eine Schwachstelle in Servern aus, auf denen ASP.NET-Software ausgeführt wird, die im Telerik-Framework programmiert wurden.
Blue Mockinbird-Hacker nutzen den CVE-2019-18935-Exploit, um in Unternehmensnetzwerke einzudringen
Unternehmensnetzwerke werden von einer gefährlichen Hacking-Gruppe angegriffen, die als bekannt ist Blauer Spottdrossel. Die von ihnen inszenierte Angriffskampagne ist seit Dezember letzten Jahres aktiv und wurde gerade erst entdeckt, eine Tatsache, die zeigt, dass sie einen komplexen Ansatz bei der Untergrabung von Sicherheitssystemen verwendet haben. Ihr Ansatz beruht auf der Ausnutzung einer Sicherheitsanfälligkeit auf Servern, die auf dem ASP ausgeführt werden. NET-Technologie. Dies sind normalerweise Online-Webdienste oder firmeninterne Programme. Wenn sie nicht regelmäßig aktualisiert werden, können Schwachstellen in den unterstützten Diensten auftreten. Nach den durchgeführten Untersuchungen wurde die Schwachstelle in der in der Telerik Framework, Ein beliebtes Tool zum Erstellen der grafischen Benutzeroberflächen.
In diesem speziellen Fall haben sich die Blue Mockingbird-Hacker darauf konzentriert, mithilfe einer im Internet identifizierten Sicherheitslücke Zugriff auf die Unternehmensnetzwerke zu erhalten CVE-2019-18935 Beratung. Das eigentliche Sicherheitsproblem wird in einer der Funktionen identifiziert, die ausgeführt werden, wenn Apps ausgeführt werden. Wenn diese Schwäche von Kriminellen angegriffen wird, führt der resultierende Code dazu Remotecodeausführung. Die Hacking-Gruppe implantiert dann einen Shell-Zugriff auf die Server. Mit einer Technik bekannt als Saftige Kartoffel Sie erhalten Administratorrechte und können wichtige Einstellungen auf den Systemen ändern. Mögliche böswillige Aktionen, die ausgeführt werden können, sind die folgenden:
- Änderungen der Systemkonfiguration — Die Einstellungen, die geändert werden können, können wichtige Dateien enthalten, Windows-Registrierungswerte und -einstellungen. Dies kann zu Leistungsproblemen führen, Datenverlust und Fehler bei der Verwendung von Anwendungen und Diensten.
- Netzwerk-Propagation — Die Hacker können verschiedene Malware über verbundene Netzwerkfreigaben verbreiten, Wechselmedien und andere angeschlossene Computer.
- Botnet Recruitment — Die kontaminierten Computer können in ein weltweites Botnetz-Netzwerk rekrutiert werden, das für kriminelle Zwecke verwendet werden kann.
- Malware-Infektionen — Die Webserver und andere kontaminierte Computer und Geräte können mit verschiedenen Arten von Viren infiziert sein. Dies kann Cryptocurrency Miner umfassen, Trojaner und Ransomware.
Eine Analyse der Zielnetzwerke zeigt, dass nur ein kleiner Prozentsatz der Organisationen tatsächlich betroffen ist. Details zur Angriffskampagne zeigen jedoch, dass die einzelnen Kampagnen in kurzer Zeit organisiert werden, bis die nächste geplant und ausgeführt wird.