Киберпреступники используют критическую уязвимость Telerik UI для майнинга Monero

Группировка Blue Mockingbird использовала уязвимость пользовательского интерфейса Telerik UI для компрометации серверов, установки маяков Cobalt Strike и майнинга Monero путем захвата системных ресурсов.

Blue Mockingbird использовала RCE-уязвимость CVE-2019-18935 с оценкой CVSS 9.8 в библиотеке Telerik UI для ASP.NET AJAX. Для использования CVE-2019-18935 группировка должна получить ключи шифрования, которые защищают сериализацию Telerik UI. Это возможно путем эксплуатации других ошибок CVE-2017-11317 и CVE-2017-11357 .

После получения ключей Blue Mockingbird может скомпилировать вредоносный DLL-файл с кодом, который будет выполняться во время десериализации. Также группа может запустить DLL в контексте процесса «w3wp.exe».

Полезная нагрузка представляет собой маяк Cobalt Strike, который Blue Mockingbird использует для выполнения PowerShell-команд. Сценарий использует распространенные методы обхода AMSI ( Anti-Malware Scan Interface ), чтобы избежать обнаружения Защитником Windows при загрузке DLL Cobalt Strike в память.

Исполняемый файл второго этапа «crby26td.exe» представляет собой open-source майнер криптовалюты XMRig Miner, используемый для майнинга наименее отслеживаемой криптовалюты Monero .

Развертывание Cobalt Strike предоставляет киберпреступнику следующие возможности:

• выполнять боковое перемещение внутри скомпрометированной сети;
• осуществлять кражу данных;
• захватывать учетные записи;
• развертывать более опасные полезные нагрузки, например программы-вымогатели.

Пока неизвестно, заинтересована ли Blue Mockingbird в использовании этих сценариев, но пока группа специализируется исключительно на майнинге Monero.