據BleepingComputer網站6月15日消息,一個被稱為「Blue Mockingbird」的攻擊者利用 Telerik UI 漏洞來破壞服務器,安裝 Cobalt Strike 信標,並通過劫持系統資源來挖掘 Monero。
攻擊者利用的漏洞是CVE-2019-18935,這是一個嚴重的反序列化漏洞,CVSS v3.1評分高達9.8,可導致在 Telerik UI 庫中遠程執行ASP.NET AJAX 的代碼。
在2020年5月,Blue Mockingbird就曾使用同樣的手法攻擊Microsoft IIS 服務器,而此時距供應商提供安全更新已經過去了一年 ,可見該漏洞已被該攻擊者反覆利用,屢試不爽。
要利用 CVE-2019-18935漏洞,攻擊者必須獲得保護目標上Telerik UI序列化的加密密鑰,這可通過利用目標 Web 應用程序中的另一個漏洞或使用 CVE-2017-11317和CVE-2017-11357 來實現。一旦獲得密鑰,攻擊者就可以編譯一個惡意DLL,其中包含要在反序列化期間執行的代碼,並在「w3wp.exe」進程的上下文中運行。
△Blue Mockingbird 最近的攻擊鏈
在由網絡安全公司Sophos最近發現的這起攻擊事件中,Blue Mockingbird採用了一個現成的概念驗證(PoC)漏洞,能夠處理加密邏輯並自動進行DLL編譯,其使用的有效載荷是 Cobalt Strike 信標,這是一種隱蔽的、合法的滲透測試工具, Blue Mockingbird 以此濫用來執行編碼的 PowerShell 命令。
△Cobalt Strike 信標配置
為了實現持久性,攻擊者通過 Active Directory 組策略對象 (GPO) 建立,它創建計劃任務,該計劃任務寫入包含 base64 編碼的 PowerShell 的新註冊表項中。
該腳本使用常見的 AMSI 繞過技術來規避 Windows Defender 檢測,以將 Cobalt Strike DLL 下載並加載到內存中。
第二階段的可執行文件('crby26td.exe')是一個 XMRig Miner,一個標準的開源加密貨幣礦工,用於挖掘 Monero,這是最難追蹤的加密貨幣之一。
Cobalt Strike 的部署為在受感染的網絡內輕鬆橫向移動、進行數據泄露、帳戶接管以及部署更強大的有效負載(如勒索軟件)開闢了道路。
參考來源
https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/
精彩推薦
留言列表