Вредоносная группа Blue Mockingbird использует уязвимости в сетях организаций

Появилось еще одно печально известное вредоносное ПО для майнинга криптовалют, которое предположительно уже заразило системы бесчисленных организаций. Группа с контролем операций идет под кодовым названием Blue Mockinbird «Синий пересмешник».

Исследователи полагают, что Blue Mockingbird был активен с прошлого месяца 2019 года. По их мнению, он нацелен на общедоступные серверы, на которых запущены приложения ASP.NET, использующие Telerik Framework для пользовательского интерфейса (UI).

Хакеры используют в этом процессе уязвимость CVE-2019-18395, которая затем используется для встраивания веб-оболочки на сервере цели. Далее они получают доступ администратора и изменяют настройки сервера. Источники отмечают, что после получения полного доступа к системе вредоносная группа устанавливает версию XMRRig, которая является известным приложением для майнинга криптовалют, особенно для «Monero (XMR)».

Согласно источникам, компонент пользовательского интерфейса Telerik является частью приложений ASP.NET, и может существовать в приложениях компании. Уязвимость Telerik UI CVE-2019-18935 используется для встраивания веб-оболочек на серверы. И организациям необходимо улучшить свои брандмауэры для борьбы с ней.