Blue Mockingbird Malware

The Blue Mockingbird Malware to organizacja prowadzona przez hakerów, których ostatecznym celem jest stworzenie i uruchomienie botnetu wydobywającego kryptowalutę. Ta grupa hakerska pojawiła się po raz pierwszy w grudniu 2019 r. Serwery atakujące są bardzo specyficzne – jedyną wspólną cechą ofiar jest to, że prawie zawsze uruchamiają framework Telerik UI wraz ze zmiennymi narzędziami ASP.NET. Dzięki temu atakujący mogą wykorzystać lukę znaną jako CVE-2019-18935. Ta luka pozwoliłaby programowi Blue Mockingbird Malware umieścić powłokę w docelowym systemie, a tym samym przejąć nad nim kontrolę.

Zazwyczaj tego typu ataki mają na celu zbieranie poufnych plików, poufnych danych, danych osobowych itp. Jednak zamiast przeprowadzać operację rozpoznania, Blue Mockingbird Malware zdecydowało się zainstalować koparkę kryptowaluty na zaatakowanych serwerach. Koparka kryptowalut, o której mowa, to strojanizowany wariant słynnego koparki XMRig. To narzędzie kopie kryptowalutę Monero. W ostatnich latach coraz więcej cyberprzestępców decyduje się na wykorzystywanie botnetów do wydobywania kryptowaluty, ponieważ okazało się, że jest to bardzo dochodowe przedsięwzięcie.

Botnet Blue Mockingbird Malware jest wciąż raczej niewielki. Wynika to z faktu, że ta grupa hakerska atakuje bardzo konkretne cele. Istnieje około 1000 serwerów, które zostały przejęte przez złośliwe oprogramowanie Blue Mockingbird. Aby rozprzestrzeniać się na boki w zaatakowanej sieci, cyberprzestępcy wykorzystują słabo zabezpieczone połączenia SMB (Server Message Block) i RDP (Remote Desktop Protocol).

Jeśli korzystasz ze struktury Telerik, upewnij się, że stosujesz najnowsze aktualizacje, które mają na celu naprawienie luki, która umożliwia złośliwemu oprogramowaniu Blue Mockingbird wykorzystywanie serwerów.