Шкідливе програмне забезпечення Blue Mockingbird

Зловмисне програмне забезпечення Blue Mockingbird — це організація, керована хакерами, які, здається, мають кінцеву мету створити та запустити ботнет, який би видобув криптовалюту. Ця хакерська група вперше з’явилася в грудні 2019 року. Сервери, на які націлені зловмисники, дуже специфічні – єдина спільна риса між ними полягає в тому, що вони майже завжди запускають фреймворк Telerik UI разом зі змінними утилітами ASP.NET. Це дозволяє зловмисникам використовувати уразливість, відому як CVE-2019-18935. Ця вразливість дозволить зловмисному програмному забезпеченню Blue Mockingbird запровадити оболонку в цільову систему і, таким чином, отримати контроль над нею.

Зазвичай такі атаки спрямовані на збір конфіденційних файлів, конфіденційних даних, особистих даних тощо. Однак замість проведення розвідувальної операції зловмисне програмне забезпечення Blue Mockingbird вирішило встановити майнер криптовалюти на цільові сервери, які вони скомпрометували. Розглядуваний майнер криптовалюти є троянізованим варіантом відомого майнера XMRig . Цей інструмент майнить для криптовалюти Monero. В останні роки все більше і більше кіберзлочинців вибирають використовувати ботнети для майнінгу криптовалюти, оскільки це виявилося дуже прибутковим підприємством.

Ботнет зловмисного програмного забезпечення Blue Mockingbird все ще має досить маленький розмір. Це пов’язано з тим, що ця хакерська група переслідує дуже конкретні цілі. Існує приблизно 1000 серверів, які були захоплені зловмисним програмним забезпеченням Blue Mockingbird. Для того, щоб поширюватися в скомпрометованій мережі, шахраї використовують погано захищені з’єднання SMB (Server Message Block) і RDP (Remote Desktop Protocol).

Якщо ви використовуєте фреймворк Telerik, не забудьте застосувати останні оновлення, які мають на меті виправити вразливість, яка дозволяє зловмисному програмному забезпеченню Blue Mockingbird експлуатувати сервери.