美國一家網(wǎng)絡(luò)安全公司的研究人員發(fā)現(xiàn)了一種新型的威脅，此威脅的終極目的是挖掘加密貨幣。

Red Canary Intel正在監(jiān)視一個(gè)新威脅，他們將其稱為 Blue Mockingbird(譯名藍(lán)色知更鳥)，因?yàn)樗鼘Χ鄠€(gè)組織進(jìn)行了攻擊。

[[326034]]

該名稱指的是類似活動的群集，其中涉及Windows系統(tǒng)上以動態(tài)鏈接庫(DLL)形式的Monero加密貨幣挖掘有效載荷。

Red Canary網(wǎng)絡(luò)事件響應(yīng)團(tuán)隊(duì)的情報(bào)分析師Tony Lambert說：“如果您擁有面向公眾的Web服務(wù)器，那就應(yīng)該對此有所關(guān)注。”

“觀察到的活動沒有針對性，并且可能在運(yùn)行受Telerik支持的Web應(yīng)用程序的任何Windows IIS服務(wù)器上發(fā)生，該服務(wù)器仍然容易受到CVE-2019-18935的攻擊。”

由于Telerik的整合方式，藍(lán)知更鳥的受害者可能沒有意識到他們已受到攻擊。

蘭伯特說：“受此CVE影響的一些組織不知道自己是否容易受到攻擊，因?yàn)門elerik普遍且不顯眼地內(nèi)置在其他Web應(yīng)用程序中，因此最好的方法是簡單地檢查IIS Web服務(wù)器的Web訪問日志以提及Telerik。

[[326035]]

Red Canary研究人員指出，威脅參與者通過利用面向公眾的Web應(yīng)用程序(特別是那些使用Telerik UI for ASP.NET的Web應(yīng)用程序，然后通過多種技術(shù)執(zhí)行和持久化)來實(shí)現(xiàn)初始訪問”。

獲得訪問權(quán)限后，該挖礦病毒將使用“遠(yuǎn)程桌面協(xié)議”訪問特權(quán)系統(tǒng)，然后使用Windows資源管理器將其有效負(fù)載分發(fā)給盡可能多的遠(yuǎn)程系統(tǒng)。 

在受感染的計(jì)算機(jī)上，它會通過濫用合法且不經(jīng)常使用的Windows功能COR_PROFILER來持久存在。

在一次的攻擊泄漏中，有人給被該挖礦病毒惡意泄露的賬戶提供了代理軟件，并嘗試使用不同種類的反向外殼有效載荷連接到外部系統(tǒng)。

研究人員說，他們觀察到的最早的“藍(lán)知更鳥”工具是去年12月形成的。蘭伯特說，發(fā)現(xiàn)威脅目標(biāo)是醫(yī)療保健到IT服務(wù)提供商的眾多企業(yè)。

根據(jù)觀察到的眾多技術(shù)，Red Canary研究人員表示，Blue Mockingbird更可能為企業(yè)網(wǎng)絡(luò)而不是個(gè)人消費(fèi)者帶來問題。

目標(biāo)企業(yè)將看到受感染機(jī)器耗盡的計(jì)算資源，而IT或安全團(tuán)隊(duì)則消除了來自受影響環(huán)境的威脅，從而承受了更大的壓力。