企業のネットワークは、BlueMockinbirdとして知られる犯罪集団による攻撃を受けています, それらを参照するために使用されるコードネーム. キャンペーンは検出されたばかりですが、少なくとも12月からアクティブになっています 2019. ハッカーは、TelerikフレームワークでプログラムされたASP.NETソフトウェアを実行しているサーバーの弱点を悪用しています.
Blue Mockinbirdハッカーは、CVE-2019-18935エクスプロイトを利用してエンタープライズネットワークに侵入します
企業ネットワークは、次のような危険なハッキンググループの標的になっています。 アオマネシツグミ. 彼らが組織した攻撃キャンペーンは昨年12月から活発に行われており、今発見されました, 彼らがセキュリティシステムを破壊するのに複雑なアプローチを使用したことを示す事実. 彼らのアプローチは、ASPで実行されているサーバーに見られる脆弱性の悪用に依存しています. NETテクノロジー. これらは通常、オンラインWebサービスまたは社内プログラムです。. それらが定期的に更新されない場合、サポートされているサービスの弱点が発生する可能性があります. 実施された調査によると、弱点はで作成されたソフトウェアで特定されました Telerikフレームワーク, グラフィカルユーザーインターフェイスの作成に使用される人気のあるツール.
この特定のケースでは、Blue Mockingbirdのハッカーは、 CVE-2019-18935アドバイザリ. 実際のセキュリティの問題は、アプリの実行時に実行される関数の1つで識別されます. この弱点が犯罪者の標的になると、結果のコードは次のようになります。 リモートコード実行. 次に、ハッキンググループはサーバーにシェルアクセスを埋め込みます. として知られている技術を使用して ジューシーポテト 管理者権限を取得し、システムの重要な設定を変更できるようになります. 実行される可能性のある悪意のあるアクションには、次のものがあります。:
- システム構成の変更 — 変更可能な設定には、重要なファイルが含まれる場合があります, Windowsレジストリの値と設定. これはパフォーマンスの問題につながる可能性があります, アプリケーションとサービスを使用する際のデータの損失とエラー.
- ネットワーク伝搬 — ハッカーは、接続されたネットワーク共有を介してさまざまなマルウェアを拡散させる可能性があります, リムーバブルデバイスおよびその他の接続されたコンピューター.
- ボットネットの募集 — 汚染されたコンピューターは、犯罪目的で使用される可能性のある世界中のボットネットネットワークに採用される可能性があります.
- マルウェア感染 — Webサーバーやその他の汚染されたコンピューターやデバイスは、さまざまな種類のウイルスに感染する可能性があります. これには暗号通貨マイナーを含めることができます, トロイの木馬とランサムウェア.
対象となるネットワークを分析すると、実際に影響を受けた組織はごくわずかであることがわかります。. ただし、攻撃キャンペーンの詳細から、次のキャンペーンが計画され実行されるまで、個々のキャンペーンが短期間で編成されていることがわかります。.