Pull to refresh

Группировка Blue Mockingbird взламывает серверы Microsoft IIS и майнит на них Monero

Information SecurityServer AdministrationIISCryptocurrencies
image

Аналитики Red Canary выяснили, что группировка хакеров Blue Mockingbird с конца 2019 года смогла взломать тысячи корпоративных систем. Зараженные системы использовали для майнинга криптовалюты Monero.

Хакеры атаковали общедоступные IIS-серверы от Microsoft, на которых работают приложения ASP.NET с уязвимыми версиями фреймворка Telerik. Уязвимость CVE-2019-18935 (Remote Desktop Protocol, уязвимость протокола удалённого рабочего стола в Windows) позволяет устанавливать на них веб-шеллы. Затем с помощью Juicy Potato хакеры получали привилегии администратора, меняли настройки сервера и обеспечивали себе постоянное присутствие в системе, используя слабо защищенные RDP и SMB. На взломанные машины устанавливался майнер XMRRig.

«Как любая ИБ-компания, мы видим лишь ограниченный участок ландшафта угроз, и не можем знать точный масштаб данной угрозы. В частности, эта угроза затронула лишь небольшой процент организаций, чьи эндпоинты мы отслеживаем. Однако мы зафиксировали около 1000 случаев заражения в этих организациях за короткий промежуток времени­», — отметили в Red Canary.

Опасность данного вида атак состоит в том, что приложения ASP.NET работают с новейшим ПО. Однако их версия Telerik может быть устаревшей. При этом ИТ-специалисты компаний могут даже не знать о том, что в составе их приложений присутствует этот фреймворк. В официальных рекомендациях Telerik перечислены комплексные сценарии использования уязвимости и соответствующие рекомендации по исправлению.

Аналитик Emsisoft Бретт Каллоу порекомендовал такие шаги: «Компании могут значительно снизить риски, следуя хорошо зарекомендовавшим себя правилам. Например, своевременно устанавливать патчи, использовать многофакторную аутентификацию (MFA), отключать PowerShell (инструмент внесения скриптов), когда в нём нет необходимости, и т.д.».
См. также:

Tags:криптовалютавзломмайнингiistelerikasp.netmicrosoftwindows
Hubs: Information Security Server Administration IIS Cryptocurrencies
Total votes 8: ↑8 and ↓0 +8
Views3K

Comments 2

Only those users with full accounts are able to leave comments. Log in, please.

Popular right now

Ведущий разработчик .net (web-приложения)
from 200,000 to 250,000 ₽ГК «РусПерсонал»Remote job
Data Science Cloud Administrator (remote)
from 200,000 to 300,000 ₽Bergmann InfotechRemote job
Системный администратор (технологии Microsoft)
from 80,000 to 120,000 ₽НПК «Катрен»Новосибирск
Senior .Net Developer
from 250,000 ₽e-POSRemote job
Старший C# разработчик в Digital Билайн
to 220,000 ₽Билайн (ВымпелКом)МоскваRemote job

Top of the last 24 hours