Les réseaux d'entreprises sont attaqués par un collectif criminel connu sous le nom de Blue Mockinbird, un nom de code utilisé pour s'y référer. La campagne vient d'être détectée mais elle est active depuis au moins décembre 2019. Les pirates exploitent une faiblesse des serveurs exécutant le logiciel ASP.NET qui ont été programmés dans le cadre Telerik.
Les pirates de Blue Mockinbird tirent parti de l'exploit CVE-2019-18935 pour pénétrer les réseaux d'entreprise
Les réseaux d'entreprises en entreprise sont ciblés par un groupe de piratage dangereux connu sous le nom de Moqueur bleu. La campagne d'attaque orchestrée par eux est active depuis décembre de l'année dernière et vient d'être découverte, un fait montrant qu'ils ont utilisé une approche complexe pour renverser les systèmes de sécurité. Leur approche repose sur l'exploitation d'une vulnérabilité trouvée dans les serveurs fonctionnant sur l'ASP. Technologie NET. Il s'agit généralement de services Web en ligne ou de programmes internes à l'entreprise. S'ils ne sont pas régulièrement mis à jour, des faiblesses dans les services pris en charge peuvent survenir.. Selon les recherches menées, le point faible a été identifié dans un logiciel créé dans le Cadre Telerik, un outil populaire utilisé pour créer les interfaces utilisateur graphiques.
Dans ce cas particulier, les pirates de Blue Mockingbird se sont concentrés sur l'accès aux réseaux de l'entreprise en utilisant une faille de sécurité identifiée dans le Avis CVE-2019-18935. Le problème de sécurité réel est identifié dans l'une des fonctions exécutées lors de l'exécution des applications. Lorsque cette faiblesse est ciblée par des criminels, le code résultant entraînera exécution de code distant. Le groupe de piratage implantera ensuite un shell shell sur les serveurs. En utilisant une technique connue sous le nom Pomme de terre juteuse ils obtiendront des privilèges administratifs et pourront modifier des paramètres importants sur les systèmes. Les actions malveillantes pouvant être exécutées sont les suivantes:
- Les changements de configuration du système — Les paramètres qui peuvent être modifiés peuvent inclure des fichiers importants, Valeurs et préférences du Registre Windows. Cela peut conduire à des problèmes de performance, perte de données et erreurs lors de l'utilisation des applications et des services.
- La propagation du réseau — Les pirates peuvent propager divers logiciels malveillants via des partages réseau connectés, périphériques amovibles et autres ordinateurs connectés.
- Recrutement botnet — Les ordinateurs contaminés peuvent être recrutés sur un réseau de botnet mondial qui peut être utilisé à des fins criminelles.
- Malware infections — Les serveurs Web et autres ordinateurs et appareils contaminés peuvent être infectés par différents types de virus. Cela peut inclure des mineurs de crypto-monnaie, Chevaux de Troie et ransomware.
Une analyse des réseaux ciblés révèle que seul un petit pourcentage des organisations a réellement été touché. Cependant, les détails de la campagne d'attaque révèlent que les campagnes individuelles sont organisées dans un court laps de temps jusqu'à ce que la prochaine soit planifiée et exécutée..
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: