Blue Mockingbird Malware

The Blue Mockingbird Malware er en organisasjon drevet av hackere som ser ut til å ha det endelige målet å lage og kjøre et botnett som kan utvinne kryptovaluta. Denne hackergruppen dukket opp for første gang i desember 2019. Serverne som angriperne sikter mot er veldig spesifikke – det eneste fellestrekket ofrene har mellom seg er at de nesten alltid kjører Telerik UI-rammeverket sammen med variable ASP.NET-verktøy. Dette gjør det mulig for angriperne å utnytte en sårbarhet kjent som CVE-2019-18935. Denne sårbarheten vil tillate Blue Mockingbird Malware å plante et skall på det målrettede systemet og derfor ta kontroll over det.

Vanligvis tar slike angrep sikte på å samle inn sensitive filer, konfidensielle data, personlige detaljer osv. Men i stedet for å utføre en rekognoseringsoperasjon, har Blue Mockingbird Malware valgt å installere en kryptovaluta-gruvearbeider på de målrettede serverne de kompromitterer. Den aktuelle kryptovalutagruvearbeideren er en trojanisert variant av den berømte XMRig- gruvearbeideren. Dette verktøyet miner etter Monero-kryptovalutaen. I løpet av de siste årene velger flere og flere nettkriminelle å bruke botnett for å utvinne kryptovaluta, da dette har vist seg å være et veldig profittprosjekt.

Blue Mockingbird Malwares botnett er fortsatt ganske lite i størrelse. Dette skyldes det faktum at denne hackergruppen går etter svært spesifikke mål. Det er omtrent 1000 servere som har blitt kapret av Blue Mockingbird Malware. For å spre sideveis på det kompromitterte nettverket, bruker cyberskurkene dårlig sikrede SMB-forbindelser (Server Message Block) og RDP (Remote Desktop Protocol).

Hvis du bruker Telerik-rammeverket, sørg for å bruke de siste oppdateringene, som er ment å lappe sikkerhetsproblemet som gjør at Blue Mockingbird Malware kan utnytte servere.