As redes de empresas estão sendo atacadas por um coletivo criminoso conhecido como Blue Mockinbird, um nome de código usado para se referir a eles. A campanha acaba de ser detectada, mas está ativa desde pelo menos dezembro 2019. Os hackers estão explorando uma fraqueza nos servidores que executam software ASP.NET que foram programados na estrutura do Telerik.
Os hackers do Blue Mockinbird aproveitam as vantagens da exploração CVE-2019-18935 para invadir redes empresariais
Redes de empresas corporativas estão sendo visadas por um grupo de hackers perigoso conhecido como Mockingbird azul. A campanha de ataque orquestrada por eles está ativa desde dezembro do ano passado e só agora foi descoberta, um fato que mostra que eles usaram uma abordagem complexa para subverter os sistemas de segurança. Sua abordagem baseia-se na exploração de uma vulnerabilidade encontrada em servidores rodando no ASP. Tecnologia NET. Geralmente, são serviços da web online ou programas internos da empresa. Se eles não forem atualizados regularmente, podem surgir pontos fracos nos serviços suportados. De acordo com a pesquisa realizada, o ponto fraco foi identificado no software criado no Estrutura Telerik, uma ferramenta popular usada para criar as interfaces gráficas do usuário.
Neste caso específico, os hackers do Blue Mockingbird se concentraram em obter acesso às redes da empresa usando uma falha de segurança identificada no Consultoria CVE-2019-18935. O problema de segurança real é identificado em uma das funções que são executadas quando os aplicativos são executados. Quando essa fraqueza é visada por criminosos, o código resultante levará a execução remota de código. O grupo de hackers irá então implantar um acesso shell aos servidores. Usando uma técnica conhecida como Batata suculenta eles ganharão privilégios administrativos e serão capazes de alterar configurações importantes nos sistemas. Possíveis ações maliciosas que podem ser executadas incluem o seguinte:
- Alterações de configuração do sistema — As configurações que podem ser modificadas podem incluir arquivos importantes, Valores e preferências do Registro do Windows. Isso pode levar a problemas de desempenho, perda de dados e erros ao usar aplicativos e serviços.
- Propagação rede — Os hackers podem espalhar vários malware por meio de compartilhamentos de rede conectada, dispositivos removíveis e outros computadores conectados.
- botnet Recrutamento — Os computadores contaminados podem ser recrutados para uma rede mundial de bots que pode ser usada para fins criminosos.
- Malware Infecções — Os servidores da web e outros computadores e dispositivos contaminados podem ser infectados com diferentes tipos de vírus. Isso pode incluir mineradores de criptomoedas, Trojans e ransomware.
Uma análise das redes direcionadas revela que apenas uma pequena porcentagem das organizações foi realmente afetada. No entanto, detalhes sobre a campanha de ataque revelam que as campanhas individuais estão sendo organizadas em um curto período de tempo até que a próxima seja planejada e executada.