Blue Mockingbird Malware

Il Blue Mockingbird Malware è un'organizzazione gestita da hacker che sembrano avere l'obiettivo finale di creare e gestire una botnet che estrae criptovaluta. Questo gruppo di hacker è apparso per la prima volta a dicembre 2019. I server presi di mira dagli aggressori sono molto specifici: l'unico tratto comune delle vittime è che eseguono quasi sempre il framework dell'interfaccia utente di Telerik insieme a utilità ASP.NET variabili. Ciò consente agli aggressori di sfruttare una vulnerabilità nota come CVE-2019-18935. Questa vulnerabilità consentirebbe al malware Blue Mockingbird di installare una shell sul sistema preso di mira e quindi di assumerne il controllo.

Di solito, attacchi del genere mirano a raccogliere file sensibili, dati riservati, dettagli personali, ecc. Tuttavia, invece di eseguire un'operazione di ricognizione, Blue Mockingbird Malware ha scelto di installare un minatore di criptovaluta sui server presi di mira che viene compromesso. Il minatore di criptovaluta in questione è una variante trojanizzata del famoso minatore XMRig. Questo strumento estrae la criptovaluta Monero. Negli ultimi anni sempre più criminali informatici scelgono di utilizzare le botnet per il mining di criptovalute poiché questa si è rivelata un'impresa molto redditizia.

La botnet del malware Blue Mockingbird è ancora di dimensioni piuttosto ridotte. Ciò è dovuto al fatto che questo gruppo di hacker persegue obiettivi molto specifici. Ci sono circa 1.000 server che sono stati dirottati dal malware Blue Mockingbird. Per diffondersi lateralmente sulla rete compromessa, i criminali informatici utilizzano connessioni SMB (Server Message Block) e RDP (Remote Desktop Protocol) scarsamente protette.

Se stai utilizzando il framework Telerik, assicurati di applicare gli aggiornamenti più recenti, che hanno lo scopo di correggere la vulnerabilità che consente al malware Blue Mockingbird di sfruttare i server.