Le reti aziendali sono attaccate da un collettivo criminale noto come Blue Mockinbird, un nome in codice usato per riferirsi a loro. La campagna è stata appena rilevata, ma è attiva da almeno dicembre 2019. Gli hacker stanno sfruttando una debolezza nei server che eseguono software ASP.NET che sono stati programmati nel framework Telerik.
Gli hacker Blue Mockinbird sfruttano l'exploit CVE-2019-18935 per irrompere nelle reti aziendali
Le reti aziendali di impresa vengono prese di mira da un pericoloso gruppo di hacking noto come Blue Mockingbird. La campagna d'attacco orchestrata da loro è attiva dal dicembre dello scorso anno e scoperta proprio ora, un fatto che dimostra che hanno usato un approccio complesso nel sovvertire i sistemi di sicurezza. Il loro approccio si basa sullo sfruttamento di una vulnerabilità rilevata nei server in esecuzione su ASP. Tecnologia NET. Si tratta in genere di servizi Web online o programmi aziendali interni. Se non vengono aggiornati regolarmente possono insorgere carenze nei servizi supportati. Secondo la ricerca condotta, il punto debole è stato identificato nel software creato nel Quadro Telerik, uno strumento popolare utilizzato per creare le interfacce utente grafiche.
In questo caso particolare, gli hacker di Blue Mockingbird si sono concentrati sull'ottenere l'accesso alle reti aziendali utilizzando una debolezza di sicurezza identificata nella Advisor CVE-2019-18935. L'effettivo problema di sicurezza viene identificato in una delle funzioni che vengono eseguite quando vengono eseguite le app. Quando questa debolezza viene presa di mira dai criminali, il codice risultante porterà a esecuzione di codice remoto. Il gruppo di hacking impianterà quindi un accesso shell ai server. Utilizzando una tecnica nota come Patata Succosa otterranno i privilegi di amministratore e saranno in grado di modificare impostazioni importanti sui sistemi. Le possibili azioni dannose che possono essere eseguite includono quanto segue:
- Le modifiche di configurazione del sistema — Le impostazioni che possono essere modificate possono includere file importanti, Valori e preferenze del registro di Windows. Questo può portare a problemi di prestazioni, perdita di dati ed errori durante l'utilizzo di applicazioni e servizi.
- Propagazione di rete — Gli hacker possono diffondere vari malware attraverso condivisioni di rete connesse, dispositivi rimovibili e altri computer collegati.
- Reclutamento botnet — I computer contaminati possono essere reclutati in una rete botnet mondiale che può essere utilizzata per scopi criminali.
- malware Infezioni — I server Web e altri computer e dispositivi contaminati possono essere infettati da diversi tipi di virus. Questo può includere minatori di criptovaluta, Trojan e ransomware.
Un'analisi delle reti mirate rivela che solo una piccola percentuale delle organizzazioni è stata effettivamente colpita. Tuttavia, i dettagli sulla campagna di attacco rivelano che le singole campagne vengono organizzate in un breve periodo di tempo fino a quando la successiva non viene pianificata ed eseguita.