Cobalt Strike Monero Telerik asp.net blue mockingbird
А также для установки маяков Cobalt Strike
Группировка Blue Mockingbird использовала уязвимость пользовательского интерфейса Telerik UI для компрометации серверов, установки маяков Cobalt Strike и майнинга Monero путем захвата системных ресурсов.
Blue Mockingbird использовала RCE-уязвимость CVE-2019-18935 с оценкой CVSS 9.8 в библиотеке Telerik UI для ASP.NET AJAX. Для использования CVE-2019-18935 группировка должна получить ключи шифрования, которые защищают сериализацию Telerik UI. Это возможно путем эксплуатации других ошибок CVE-2017-11317 и CVE-2017-11357 .
После получения ключей Blue Mockingbird может скомпилировать вредоносный DLL-файл с кодом, который будет выполняться во время десериализации. Также группа может запустить DLL в контексте процесса
«w3wp.exe».Полезная нагрузка представляет собой маяк Cobalt Strike, который Blue Mockingbird использует для выполнения PowerShell-команд. Сценарий использует распространенные методы обхода AMSI ( Anti-Malware Scan Interface ), чтобы избежать обнаружения Защитником Windows при загрузке DLL Cobalt Strike в память.
Исполняемый файл второго этапа
«crby26td.exe» представляет собой open-source майнер криптовалюты XMRig Miner, используемый для майнинга наименее отслеживаемой криптовалюты Monero .
Развертывание Cobalt Strike предоставляет киберпреступнику следующие возможности:
выполнять боковое перемещение внутри скомпрометированной сети;
осуществлять кражу данных;
захватывать учетные записи;
развертывать более опасные полезные нагрузки, например программы-вымогатели.
Пока неизвестно, заинтересована ли Blue Mockingbird в использовании этих сценариев, но пока группа специализируется исключительно на майнинге Monero.
SECURITYLAB.RU