Bedrijfsnetwerken worden aangevallen door een crimineel collectief dat bekend staat als Blue Mockinbird, een codenaam om naar te verwijzen. De campagne is zojuist gedetecteerd, maar is sinds ten minste december actief 2019. De hackers maken gebruik van een zwakte in servers met ASP.NET-software die zijn geprogrammeerd in het Telerik-framework.
Blue Mockinbird-hackers profiteren van de CVE-2019-18935-exploitatie om in te breken in bedrijfsnetwerken
Enteprise-bedrijfsnetwerken worden het doelwit van een gevaarlijke hackgroep die bekend staat als Blauwe Spotlijster. De door hen georkestreerde aanvalscampagne is sinds december vorig jaar actief en zojuist ontdekt, een feit dat aantoont dat ze een complexe aanpak hebben gebruikt bij het ondermijnen van beveiligingssystemen. Hun aanpak is afhankelijk van het misbruik van een kwetsbaarheid die wordt aangetroffen in servers die op de ASP draaien. NET-technologie. Dit zijn meestal online webservices of interne bedrijfsprogramma's. Als ze niet regelmatig worden bijgewerkt, kunnen er gebreken in de ondersteunde services optreden. Volgens het uitgevoerde onderzoek werd de zwakke plek geïdentificeerd in software die in de Telerik-raamwerk, een populaire tool die wordt gebruikt om de grafische gebruikersinterfaces te maken.
In dit specifieke geval hebben de Blue Mockingbird-hackers zich gericht op het verkrijgen van toegang tot de bedrijfsnetwerken met behulp van een beveiligingslek dat is geïdentificeerd in de CVE-2019-18935 adviserend. Het daadwerkelijke beveiligingsprobleem wordt geïdentificeerd in een van de functies die worden uitgevoerd wanneer apps worden uitgevoerd. Wanneer deze zwakte wordt aangepakt door criminelen, zal de resulterende code leiden tot uitvoering van externe code. De hackgroep zal dan een shell-toegang op de servers implanteren. Met behulp van een techniek die bekend staat als Sappige aardappel ze krijgen administratieve privileges en kunnen belangrijke instellingen op de systemen wijzigen. Mogelijke kwaadaardige acties die kunnen worden uitgevoerd, zijn de volgende:
- Systeemconfiguratiewijzigingen — De instellingen die kunnen worden gewijzigd, kunnen belangrijke bestanden bevatten, Waarden en voorkeuren van het Windows-register. Dit kan leiden tot problemen met de prestaties, gegevensverlies en fouten bij het gebruik van applicaties en services.
- Network Voortplanting — De hackers kunnen verschillende malware verspreiden via verbonden netwerkshares, verwijderbare apparaten en andere aangesloten computers.
- botnet Recruitment — De besmette computers kunnen worden gerekruteerd op een wereldwijd botnet-netwerk dat voor criminele doeleinden kan worden gebruikt.
- malware-infecties — De webservers en andere besmette computers en apparaten kunnen worden geïnfecteerd met verschillende soorten virussen. Dit kunnen miners van cryptocurrency zijn, Trojaanse paarden en ransomware.
Uit een analyse van de beoogde netwerken blijkt dat slechts een klein percentage van de organisaties daadwerkelijk is getroffen. Uit details over de aanvalscampagne blijkt echter dat de afzonderlijke campagnes in korte tijd worden georganiseerd totdat de volgende wordt gepland en uitgevoerd.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: