Blue Mockingbird Malware

De Blue Mockingbird Malware is een organisatie die wordt gerund door hackers die het uiteindelijke doel lijken te hebben om een botnet te creëren en uit te voeren dat cryptocurrency zou minen. Deze hackgroep verscheen voor het eerst in december 2019. De servers waarop de aanvallers zich richten, zijn zeer specifiek - het enige gemeenschappelijke kenmerk van de slachtoffers is dat ze bijna altijd het Telerik UI-framework gebruiken naast variabele ASP.NET-hulpprogramma's. Hierdoor kunnen de aanvallers misbruik maken van een kwetsbaarheid die bekend staat als CVE-2019-18935. Door dit beveiligingslek zou de Blue Mockingbird Malware een shell op het doelsysteem kunnen plaatsen en er dus de controle over kunnen krijgen.

Meestal zijn dergelijke aanvallen gericht op het verzamelen van gevoelige bestanden, vertrouwelijke gegevens, persoonlijke gegevens, enz. In plaats van een verkenningsoperatie uit te voeren, heeft de Blue Mockingbird Malware ervoor gekozen om een cryptocurrency-miner te installeren op de beoogde servers die ze compromitteren. De cryptocurrency-mijnwerker in kwestie is een getrojaniseerde variant van de beroemde XMRig- mijnwerker. Deze tool mijnt voor de Monero-cryptocurrency. De afgelopen jaren kiezen steeds meer cybercriminelen ervoor om botnets te gebruiken voor het delven van cryptocurrency, omdat dit een zeer winstgevende onderneming is gebleken.

Het botnet van de Blue Mockingbird Malware is nog steeds vrij klein van formaat. Dit komt door het feit dat deze hackgroep achter zeer specifieke doelen aangaat. Er zijn ongeveer 1.000 servers die zijn gekaapt door de Blue Mockingbird Malware. Om zich lateraal te verspreiden over het gecompromitteerde netwerk, gebruiken de cybercriminelen slecht beveiligde SMB- (Server Message Block) en RDP (Remote Desktop Protocol)-verbindingen.

Als u het Telerik-framework gebruikt, zorg er dan voor dat u de nieuwste updates toepast, die bedoeld zijn om de kwetsbaarheid te patchen waardoor de Blue Mockingbird Malware servers kan misbruiken.