Home > General >

Ribuan sistem perusahaan terinfeksi oleh geng malware Blue Mockingbird baru

Ribuan sistem perusahaan terinfeksi oleh geng malware Blue Mockingbird baru

///
Comments are Off
Ribuan sistem perusahaan terinfeksi oleh geng malware Blue Mockingbird baru
blue-mockingbird.png

Ribuan sistem perusahaan diyakini telah terinfeksi dengan malware penambangan cryptocurrency yang dioperasikan oleh kelompok yang dilacak dengan nama kode Blue Mockingbird.

Ditemukan awal bulan ini oleh analis malware dari perusahaan keamanan cloud Red Canary, kelompok Blue Mockingbird diyakini telah aktif sejak Desember 2019.

Para peneliti mengatakan Blue Mockingbird menyerang server yang menghadap publik yang menjalankan aplikasi ASP.NET yang menggunakan kerangka Telerik untuk komponen antarmuka pengguna (UI) mereka.

Peretas mengeksploitasi Kerentanan CVE-2019-18935 untuk menanam shell net di server yang diserang. Mereka kemudian menggunakan versi teknik Juicy Potato untuk mendapatkan akses tingkat admin dan memodifikasi pengaturan host untuk mendapatkan (kembali) boot kegigihan.

Begitu mereka mendapatkan akses penuh ke suatu sistem, mereka mengunduh dan menginstal versi XMRRig, aplikasi penambangan cryptocurrency populer untuk cryptocurrency Monero (XMR).

Beberapa serangan berporos ke jaringan inner

Pakar Red Canary mengatakan bahwa jika host IIS yang menghadap publik terhubung ke jaringan inner perusahaan, grup tersebut juga berupaya menyebar secara inner melalui koneksi RDP (Remote Desktop Protocol) atau SMB (Server Message Block) yang diamankan dengan lemah.

Dalam sebuah wawancara e mail awal bulan ini, Red Canary memberi tahu ZDNet bahwa mereka tidak memiliki pandangan penuh tentang operasi botnet ini, tetapi mereka percaya botnet membuat setidaknya 1. 000 infeksi sejauh ini, hanya dari visibilitas terbatas yang mereka miliki.

“Seperti perusahaan keamanan mana pun, kami memiliki visibilitas terbatas ke lanskap ancaman dan tidak ada cara untuk secara akurat mengetahui cakupan penuh ancaman ini,” kata juru bicara Canary Merah kepada kami.

“Ancaman ini, khususnya, telah mempengaruhi persentase yang sangat kecil dari organisasi yang titik akhir kami pantau. Namun, kami mengamati sekitar 1. 000 infeksi di dalam organisasi itu, dan dalam waktu singkat.”

Namun, Red Canary mengatakan jumlah perusahaan yang terkena dampak bisa jauh lebih tinggi, dan bahkan perusahaan yang percaya akan aman berisiko terkena serangan.

Kerentanan UI Telerik yang berbahaya

Ini karena komponen UI Telerik yang rentan mungkin menjadi bagian dari aplikasi ASP.NET yang berjalan pada versi terbaru mereka, namun komponen Telerik mungkin banyak versi yang ketinggalan zaman, masih membuat perusahaan terkena serangan.

Banyak perusahaan dan pengembang bahkan mungkin tidak tahu apakah komponen UI Telerik bahkan merupakan bagian dari aplikasi mereka, yang, sekali lagi, membuat perusahaan terkena serangan.

Dan kebingungan ini telah dieksploitasi dengan kejam oleh serangan selama setahun terakhir, sejak detail tentang kerentanan menjadi publik.

Misalnya, dalam penasehat yang diterbitkan pada akhir April, respectively Badan Keamanan Nasional AS (NSA) terdaftar kerentanan Telerik UI CVE-2019-18935 sebagai salah satu kerentanan yang paling dieksploitasi yang digunakan untuk menanam kerang net di server.

Dalam penasehat keamanan lain yang diterbitkan minggu lalu, Pusat Keamanan Dunia Maya Australia (ACSC) juga mencatat kerentanan Telerik UI CVE-2019-18935 sebagai salah satu kerentanan yang paling dieksploitasi untuk menyerang organisasi Australia pada 2019 dan 2020.

Dalam banyak kasus, organisasi mungkin tidak memiliki opsi untuk memperbarui aplikasi mereka yang rentan. Dalam kasus ini, banyak perusahaan perlu memastikan bahwa mereka memblokir upaya eksploitasi untuk CVE-2019-18935 di tingkat anti virus mereka.

Jika mereka tidak memiliki firewall net, perusahaan perlu mencari tanda-tanda kompromi di tingkat host dan workstation. Sini, Crimson Canary telah merilis laporan dengan indikator kompromi yang dapat digunakan perusahaan untuk memindai host dan sistem untuk tanda-tanda serangan Blue Mockingbird.

“Seperti biasa, tujuan utama kami dalam menerbitkan informasi seperti ini adalah untuk membantu tim keamanan mengembangkan strategi deteksi untuk teknik ancaman yang cenderung digunakan terhadap mereka. Dengan cara ini, kami berpikir bahwa penting bagi keamanan untuk mengevaluasi kemampuan mereka untuk mendeteksi berbagai hal. Suka Ketekunan berbasis COR_PROFILER dan akses awal melalui eksploitasi kerentanan Telerik,”kata Crimson Canary ZDNet.

You may also like
Guillermo Artiles headshot

Undang-Undang Teknologi Blockchain Baru akan Meningkatkan Industri Cryptocurrency di New Jersey – NJ Tech Weekly

Pasar Cryptocurrency akan menghasilkan peluang pertumbuhan baru pada tahun 2028 - Jurnal Aerospace
Pasar Cryptocurrency akan menghasilkan peluang pertumbuhan baru pada tahun 2028 – Jurnal Aerospace
Pasar Perangkat Keras Penambangan Cryptocurrency Menganalisis Dampaknya Diikuti Oleh Batasan Dan Peluang Dan Perkembangan Yang Diproyeksikan (2020-2027) | BitMain Technologies Holding, Canaan Creative, Halong Mining, Advanced Micro Devices, Baikal Miner, Bitfury Group, Canaan Creative, Innosilicon, ASICMiner, Ebang Communication

Pasar Perangkat Keras Penambangan Cryptocurrency Menganalisis Dampaknya Diikuti Oleh Batasan Dan Peluang Dan Perkembangan Yang Diproyeksikan (2020-2027) | BitMain Technologies Holding, Canaan Creative, Halong Mining, Advanced Micro Devices, Baikal Miner, Bitfury Group, Canaan Creative, Innosilicon, ASICMiner, Ebang Communication

Berita Terbaru 2020: Pasar Perangkat Lunak Custody Cryptocurrency oleh Analisis Dampak Coronavirus-COVID19 Dengan Analisis Produsen Teratas | Pemain Top: BitGo, Coinbase, Velona, ‚Äč‚ÄčAmbisafe, Kingdom Trust, dll.