Las redes de empresas empresariales están siendo atacadas por un colectivo criminal conocido como Blue Mockinbird, un nombre en clave utilizado para referirse a ellos. La campaña acaba de ser detectada, sin embargo, ha estado activa desde al menos diciembre 2019. Los hackers están explotando una debilidad en los servidores que ejecutan el software ASP.NET que se han programado en el marco de trabajo de Telerik..
Los piratas informáticos de Blue Mockinbird se aprovechan del exploit CVE-2019-18935 para entrar en las redes empresariales
Las redes de empresas de la empresa están siendo atacadas por un grupo de piratería peligroso conocido como Ruiseñor azul. La campaña de ataque orquestada por ellos ha estado activa desde diciembre del año pasado y descubrió hace un momento., Un hecho que demuestra que han utilizado un enfoque complejo para subvertir los sistemas de seguridad. Su enfoque se basa en la explotación de una vulnerabilidad encontrada en servidores que se ejecutan en ASP. Tecnología NET. Suelen ser servicios web en línea o programas internos de la empresa.. Si no se actualizan regularmente, pueden surgir debilidades en los servicios compatibles. Según la investigación realizada, el punto débil se identificó en el software creado en el Marco Telerik, Una herramienta popular utilizada para crear las interfaces gráficas de usuario.
En este caso particular, los piratas informáticos de Blue Mockingbird se han centrado en obtener acceso a las redes de la empresa utilizando una debilidad de seguridad identificada en el Asesoramiento CVE-2019-18935. El problema de seguridad real se identifica en una de las funciones que se ejecutan cuando se ejecutan las aplicaciones. Cuando los delincuentes atacan esta debilidad, el código resultante conducirá a ejecución remota de código. El grupo de pirateo implantará un acceso de shell en los servidores. Usando una técnica conocida como Papa jugosa obtendrán privilegios administrativos y podrán cambiar configuraciones importantes en los sistemas. Las posibles acciones maliciosas que se pueden ejecutar incluyen las siguientes:
- Los cambios de configuración del sistema — La configuración que se puede modificar puede incluir archivos importantes, Valores y preferencias del Registro de Windows. Esto puede conducir a problemas de rendimiento, pérdida de datos y errores al usar aplicaciones y servicios.
- Propagación de la red — Los piratas informáticos pueden propagar diversos programas maliciosos a través de redes compartidas conectadas, dispositivos extraíbles y otras computadoras conectadas.
- Reclutamiento botnet — Las computadoras contaminadas se pueden reclutar en una red mundial de botnets que se puede utilizar con fines delictivos..
- Infecciones de malware — Los servidores web y otras computadoras y dispositivos contaminados pueden infectarse con diferentes tipos de virus. Esto puede incluir mineros de criptomonedas, Troyanos y ransomware.
Un análisis de las redes objetivo revela que solo un pequeño porcentaje de las organizaciones ha sido afectado. Sin embargo, los detalles sobre la campaña de ataque revelan que las campañas individuales se están organizando en un corto período de tiempo hasta que se planifique y ejecute la siguiente..