Cyberkriminelle nutzen eine kritische Sicherheitslücke in der Benutzeroberfläche von Telerik aus, um Monero zu schürfen

vor 5 Monaten · 0 comments
post-image

Die Blue Mockingbird-Gruppe nutzte die Telerik-UI-Schwachstelle, um Server zu kompromittieren, Cobalt-Strike-Beacons zu installieren und Monero zu schürfen, indem sie Systemressourcen stahl.

Blue Mockingbird hat die RCE-Schwachstelle CVE-2019-18935 mit einem CVSS-Score von 9,8 in der Telerik-UI-Bibliothek für ASP.NET AJAX ausgenutzt. Um CVE-2019-18935 zu verwenden, muss die Gruppe Verschlüsselungsschlüssel erhalten, die die Serialisierung der Telerik-Benutzeroberfläche sichern. Dies ist möglich, indem andere Fehler CVE-2017-11317 und CVE-2017-11357 ausgenutzt werden.

Nach Erhalt der Schlüssel kann Blue Mockingbird eine bösartige DLL-Datei mit Code kompilieren, der während der Deserialisierung ausgeführt wird. Die Gruppe kann die DLL auch im Kontext des Prozesses „w3wp.exe“ ausführen.

Die Nutzlast ist ein Cobalt Strike Beacon, das Blue Mockingbird verwendet, um PowerShell-Befehle auszuführen. Das Skript verwendet gängige AMSI-Umgehungstechniken (Anti-Malware Scan Interface), um zu vermeiden, dass es von Windows Defender erkannt wird, wenn die Cobalt Strike-DLL in den Arbeitsspeicher geladen wird.

Die ausführbare Datei „crby26td.exe“ der zweiten Stufe ist ein Open-Source-XMRig-Miner, der zum Schürfen der am wenigsten rückverfolgbaren Kryptowährung Monero verwendet wird.

Der Einsatz von Cobalt Strike bietet einem Cyberkriminellen die folgenden Optionen:

·        laterale Bewegung innerhalb eines kompromittierten Netzwerks durchführen;

·        Datendiebstahl durchführen;

·        Konten übernehmen;

·        Stellen Sie gefährlichere Payloads wie Ransomware bereit.

Es ist noch nicht bekannt, ob Blue Mockingbird an der Verwendung dieser Skripte interessiert ist, aber im Moment konzentriert sich die Gruppe ausschließlich auf das Monero-Mining.


Comment