Blue Mockingbird compromette i server Windows per estrarre criptovalute

Blue Mockingbird compromette i server Windows per estrarre criptovalute

Si chiama Blue Mockingbird ed è un nuovo gruppo cybercriminale che compromette i server con Windows sfruttando una vulnerabilità del framework Telerik per estrarre criptovalute. I server colpiti sarebbero nell'ordine delle migliaia

di pubblicata il , alle 11:01 nel canale Security
 

La complessità di un sistema aumenta costantemente, a meno che non si agisca attivamente per contenerla. A volte, però, la complessità è tale da permettere ai malintenzionati di sfruttare i piccoli difetti presenti nei sistemi a proprio vantaggio. Un nuovo gruppo di cybercriminali, chiamato Blue Mockingbird (dal nome di un uccello messicano, il tordo beffeggiatore blu), sta sfruttando una vulnerabilità presente nel framework Telerik di ASP.net per installare una versione di XMRRig, un software di estrazione della criptovaluta Monero (XMR). Risolvere il problema non è banale proprio per via della complessità del software.

Blue Mockingbird infetta i server per estrarre criptovalute (ma non Bitcoin): un problema complesso

Blue Mockingbird

Blue Mockingbird sfrutta la vulnerabilità CVE-2019-18935 presente in Telerik, un framework per la costruzione di interfacce grafiche utilizzato sui server che fanno uso della piattaforma ASP.net e di IIS (prodotti di Microsoft disponibili su Windows Server). Sfruttandola insieme ad altre due vulnerabilità note è possibile installare una webshell tramite la quale controllare il server da remoto, rendere l'accesso al server permanente e installare XMRRig.

L'obiettivo dei criminali è dunque lo sfruttamento della capacità di calcolo dei server per estrarre Monero (non Bitcoin, come solitamente avviene), più che compromettere i sistemi per estrarre informazioni; ciò non toglie che una volta assunto il controllo dei sistemi non è escluso che i criminali possano procedere con ulteriori attività.

Il problema sta nel fatto che la situazione non è facilmente risolvibile: Telerik è utilizzato in moltissimi progetti e molti amministratori di sistema (e anche sviluppatori) non sanno che tale framework viene utilizzato dal proprio software. Le versioni più recenti di Telerik non contengono la vulnerabilità, ma aggiornare il software che utilizza il framework può non essere triviale.

Blue Mockingbird non si limita a infettare i server pubblicamente accessibili da Internet, ma cerca di accedere anche alle reti dietro di essi per infettare ulteriori dispositivi. Come riporta ZDNet, i server compromessi sono un migliaio stando a quanto scoperto da Red Canary, un'azienda che si occupa di sicurezza che ha scoperto Blue Mockingbird. Ma questo numero è indubbiamente molto maggiore, dato che Red Canary ha certezza soltanto dei propri clienti e che Telerik è ampiamente utilizzato.

Ulteriori dettagli tecnici e indicatori di compromissione sono disponibili sul sito di Red Canary.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^