Miles de sistemas empresariales infectados por la nueva banda de malware Blue Mockingbird


blue-mockingbird.png

Se cree que miles de sistemas empresariales han sido infectados con un malware de minería de criptomonedas operado por un grupo rastreado bajo el nombre en clave de Blue Mockingbird.

Descubierto a principios de este mes por analistas de malware de la firma de seguridad en la nube Purple Canary, se cree que el grupo Blue Mockingbird ha estado activo desde diciembre de 2019.

Los investigadores dicen que Blue Mockingbird ataca servidores públicos que ejecutan aplicaciones ASP.Web que usan el marco de trabajo de Telerik para su componente de interfaz de usuario (UI).

Los hackers explotan el Vulnerabilidad CVE-2019-18935 para plantar un shell net en el servidor atacado. Luego usan una versión de la técnica de la papa jugosa para obtener acceso a nivel de administrador y modificar la configuración del servidor para obtener (re) inicio de persistencia.

Una vez que obtienen acceso completo a un sistema, descargan e instalan una versión de XMRRig, una common aplicación de minería de criptomonedas para la criptomoneda Monero (XMR).

Algunos ataques giran hacia redes internas

Los expertos de Purple Canary dicen que si los servidores IIS de cara al público están conectados a la crimson interna de una empresa, el grupo también intenta extenderse internamente a través de conexiones RDP (Remote Desktop Protocol) o SMB (Server Concept Block) débilmente aseguradas.

En una entrevista por correo electrónico a principios de este mes, Pink Canary dijo ZDNet que no tienen una vista completa de las operaciones de esta botnet, pero creen que la botnet ha provocado al menos 1,000 infecciones hasta ahora, solo por la visibilidad limitada que tenían.

«Al igual que cualquier empresa de seguridad, tenemos una visibilidad limitada del panorama de amenazas y no hay forma de conocer con precisión el alcance completo de esta amenaza», nos dijo un portavoz de Purple Canary.

«Esta amenaza, en distinct, ha afectado a un porcentaje muy pequeño de las organizaciones cuyos puntos finales monitoreamos. Sin embargo, observamos aproximadamente 1,000 infecciones dentro de esas organizaciones y en un corto período de tiempo».

Sin embargo, Red Canary dice que el número de empresas afectadas podría ser mucho mayor, e incluso las empresas que creen estar seguras corren el riesgo de ser atacadas.

La peligrosa vulnerabilidad de la interfaz de usuario de Telerik

Esto se debe a que el componente susceptible de la interfaz de usuario de Telerik podría ser parte de las aplicaciones ASP.Net que se ejecutan en sus últimas versiones, sin embargo, el componente de Telerik podría tener muchas versiones desactualizadas y exponer a las empresas a ataques.

Es posible que muchas compañías y desarrolladores ni siquiera sepan si el componente de la interfaz de usuario de Telerik es incluso parte de sus aplicaciones, lo que, nuevamente, deja a las compañías expuestas a ataques.

Y esta confusión ha sido explotada implacablemente por los ataques durante el año pasado, desde que los detalles sobre la vulnerabilidad se hicieron públicos.

Por ejemplo, en un aviso publicado a fines de abril, la Agencia de Seguridad Nacional de EE. UU. (NSA) mencionó la vulnerabilidad Telerik UI CVE-2019-18935 como una de las vulnerabilidades más explotadas utilizadas para plantar shells internet en servidores.

En otro aviso de seguridad publicado la semana pasada, El Centro Australiano de Seguridad Cibernética (ACSC) También enumeró la vulnerabilidad Telerik UI CVE-2019-18935 como una de las vulnerabilidades más explotadas para atacar a las organizaciones australianas en 2019 y 2020.

En muchos casos, las organizaciones pueden no tener una opción para actualizar sus aplicaciones vulnerables. En estos casos, muchas compañías tendrían que asegurarse de bloquear los intentos de explotación para CVE-2019-18935 en su nivel de firewall.

En caso de que no tengan un firewall world-wide-web, las empresas deben buscar signos de compromiso a nivel de servidor y estación de trabajo. Aquí, Purple Canary ha publicado un informe con indicadores de compromiso que las empresas pueden usar para escanear servidores y sistemas en busca de signos de un ataque de Blue Mockingbird.

«Como siempre, nuestro propósito principal en la publicación de información como esta es ayudar a los equipos de seguridad a desarrollar estrategias de detección de técnicas de amenaza que puedan ser utilizadas en su contra. De esta manera, creemos que es importante para la seguridad evaluar su capacidad de detectar cosas me gusta Persistencia basada en COR_PROFILER y acceso inicial a través de la explotación de vulnerabilidades de Telerik «, dijo Purple Canary ZDNet.



Enlace a la noticia original