Phần mềm độc hại Blue Mockingbird

Phần mềm độc hại Blue Mockingbird là một tổ chức được điều hành bởi các tin tặc, những người dường như có mục tiêu cuối cùng là tạo và chạy một mạng botnet khai thác tiền điện tử. Nhóm hack này lần đầu tiên xuất hiện vào tháng 12 năm 2019. Các máy chủ mà những kẻ tấn công nhắm mục tiêu rất cụ thể - đặc điểm chung duy nhất mà các nạn nhân có giữa chúng là chúng hầu như luôn chạy khung Telerik UI cùng với các tiện ích ASP.NET biến đổi. Làm như vậy cho phép những kẻ tấn công khai thác lỗ hổng được gọi là CVE-2019-18935. Lỗ hổng này sẽ cho phép Phần mềm độc hại Blue Mockingbird tạo một lớp vỏ trên hệ thống được nhắm mục tiêu và do đó có quyền kiểm soát nó.

Thông thường, các cuộc tấn công như vậy nhằm mục đích thu thập các tệp nhạy cảm, dữ liệu bí mật, chi tiết cá nhân, v.v. Tuy nhiên, thay vì thực hiện hoạt động do thám, Phần mềm độc hại Blue Mockingbird đã chọn cài đặt một công cụ khai thác tiền điện tử trên các máy chủ được nhắm mục tiêu mà chúng xâm phạm. Công cụ khai thác tiền điện tử được đề cập là một biến thể được trojanized của công cụ khai thác XMRig nổi tiếng. Công cụ này khai thác tiền điện tử Monero. Trong những năm gần đây, ngày càng có nhiều tội phạm mạng lựa chọn sử dụng mạng botnet để khai thác tiền điện tử vì điều này đã được chứng minh là một hoạt động mạo hiểm kiếm lợi nhuận rất cao.

Mạng botnet của Blue Mockingbird Malware vẫn có kích thước khá nhỏ. Điều này là do thực tế là nhóm hack này theo đuổi các mục tiêu rất cụ thể. Có khoảng 1.000 máy chủ đã bị xâm nhập bởi Phần mềm độc hại Blue Mockingbird. Để lan truyền theo chiều ngang trên mạng bị xâm nhập, những kẻ gian mạng đang sử dụng các kết nối SMB (Server Message Block) và RDP (Remote Desktop Protocol) được bảo mật kém.

Nếu bạn đang sử dụng khung Telerik, hãy đảm bảo áp dụng các bản cập nhật mới nhất, nhằm vá lỗ hổng bảo mật cho phép Phần mềm độc hại Blue Mockingbird khai thác máy chủ.