Дослідники компанії з комп’ютерної безпеки Red Canary виявили масове зараження корпоративних серверів новим вірусом-майнером, створеним групою Blue Mockingbird.
Вірус-шахтар видобуває анонімну криптовалюту Monero, а перші зараження сталося в грудні 2019 року. Вірус атакує публічні сервера з додатками, написаними для платформи ASP.NET і використовують фреймворк Telerik для створення користувальницького інтерфейсу.
Для зараження використовується уразливість CVE-2019-18935. З її допомогою зловмисники отримують доступ до сервера, а потім за допомогою техніки Juicy Potato отримують адміністративні права і змінюють налаштування сервера, щоб при перезавантаженні у хакерів залишався доступ до нього. Після цього вони запускають майнер XMRRig для видобутку Monero.
При цьому, якщо заражений сервер має доступ до внутрішньої мережі підприємства, хакери намагаються заразити комп’ютери на Windows в цій мережі з допомогою вразливостей в протоколах RDP і SMB.
Фахівці Red Canary відзначають, що поки не повністю оцінили масштаби ботнету, але вже виявили понад 1 000 нових заражень:
«Ця загроза торкнулася зовсім невеликої кількості спостережуваних організацій, однак у цих компаніях кількість заражень перевалила за 1 000, причому за короткий час».
Red Canary рекомендує перевірити свої сервера на вразливість CVE-2019-18935 і закрити її. При цьому деякі програми, що використовують Telerik UI, так і не були поновлені розробниками. У цьому випадку рекомендується закрити доступ до уразливості на рівні брандмауера.
Нещодавно повідомлялося, що кілька суперкомп’ютерів в Європі були атаковані зловмисниками для майнінг XMR.
Thanks!
Our editors are notified.