هزاران سیستم سازمانی به بدافزار جدید گروه مجرم سایبری Blue Mockingbird آلوده شدند
ایالات متحده آمریکا
بزرگنمايي:
ایرانیان جهان - کارشناسان امنیتی ادعا میکنند بدافزار پیچیدهی جدیدی با هدف معدنکاوی رمزارز، هزاران سیستم و سرور سازمانی را هدف قرار داده است.
ظاهرا هزاران کامپیوتر و سرور سازمانی به بدافزار معدنکاو رمزارز جدیدی آلوده شدهاند که رد آن به گروه مجرم سایبری موسوم به Blue Mockingbird میرسد. بدافزار مذکور، چندی پیش توسط تحلیلگر بدافزار شرکت امنیت سایبری ابری Red Canary شناسایی شد. محققان ادعا میکنند که گروه Blue Mockingbird احتمالا از ماه دسامبر سال 2019 مشغول به فعالیت بودهاند. محققان ادعا میکنند گروه Blue Mockingbird سرورهای عمومی مجهز به ASP.NET را هدف قرار میدهند که از فریمورک Telerik بهعنوان رابط کاربری اصلی بهره میبرند. آنها از آسیبپذیری CVE-2019-18935 سوءاستفاده کرده و یک وبشل را در سرور قربانی جانمایی میکنند. مجرمان سایبری سپس از روش موسوم به Juicy Potato برای کسب دسترسی ادمین استفاده کرده و پیکربندی سرور را تغییر دستکاری میکنند. این اقدامها باعث میشود تا کد آلوده، پس از بوت شدن سرور نیز به فعالیت ادامه شود. مجرمان سایبری پس از نفوذ و به دست گرفتن کنترل سیستم، نسخهای از بدافزار معدنکاو XMRRig را دانلود و نصب میکنند. این بدافزار، مانند بسیاری دیگر از معدنکاوهای غیرقانونی رمزارز، برای معدنکاوی رمزارز مونرو (XMR) استفاده میشود. این رمزارز ساختار حریم خصوصی و فعالیت ناشناس بسیار پیچیدهای دارد و بیش از تمامی انواع موجود، مورد سوءاستفادهی مجرمان قرار میگیرد. مجرمان سایبری از بدافزار برای معدنکاوی رمزارز مونرو استفاده میکنند
متخصصان Red Canary میگویند که اگر سرورهای IIS عمومی به شبکههای داخلی سازمانها متصل باشند، مجرمان سایبری تلاش میکنند تا به شبکهی داخلی هم نفوذ کنند. آنها با سوءاستفاده از ساختار RDP (مخفف Remote Desktop Protocol) یا SMB (مخفف Server Messagd Block) ضعیف در شبکههای داخلی، به کامپیوترهای دیگر نفوذ میکنند. شرکت امنیتی Red Canary در مصاحبهای که چندی پیش با ZDNet انجام داد، اعلام کرد که اطلاعات دقیقی از گستردگی عملیاتی گروه Blue Mockingbird در دست نیست. البته آنها تخمین میزدند که تاکنون هزار مورد آلودهسازی توسط بدافزار انجام شده باشد. فراموش نکنید که Red Canary چشمانداز محدودی نسبت به دامنهی فعالیت داشت و همین تعداد نفوذ هم نگرانکننده بهنظر میرسد. نمایندهی شرکت در مصاحبه میگوید: «ما مانند هر شرکت امنیتی دیگری، نگرش و دیدگاه محدودی نسبت به حوزهی نفوذ تهدید امنیتی داریم و بههیچوجه نمیتوانیم بهصورت دقیق، دامنهی فعالیت را تخمین بزنیم. این تهدید، درصد بسیار پایینی از سازمانهای تحت نظارت ما را آلوده کرده است. بههرحال ما در مدت کوتاهی توانستیم حدود هزار مورد آلودگی را در آن سازمانها تشخیص دهیم». درنهایت Red Canary اعتقاد دارد که احتمالا سازمانهای بسیار زیادی تحت تأثیر نفوذ و آلودگی بودهاند. بهعلاوه، آنهایی که تصور امن بودن دارند نیز شاید به بدافزار آلوده شوند.
کشف آسیبپذیری امنیتی جدید در ویندوز هکرها با هدف معدنکاوی رمزارز به ابرکامپیوترهای اروپایی حمله کردند
از گزارشهای دیگر پیرامون آسیبپذیری خطرناک سروری میتوان به گزارش اخیر مرکز امنیت سایبری استرالیا ACSC اشاره کرد که چند روز پیش منتشر شد. این مرکز نیز آسیبپذیری Telerik UI CVE-2019-18935 را بهعنوان یکی از پرکاربردترین ابزارها و روشهای نفوذ به سازمانهای استرالیایی در سالهای 2019 و 2020 نامید. بسیاری از سازمانها احتمالا امکان بهروزرسانی اپلیکیشنهای آسیبپذیر را به جدیدترین نسخهها ندارند. در چنین مواردی آنها باید مطمئن شوند که رویکردهای نفوذ مبتنی بر Telerik UI CVE-2019-18935 در سطح فایروال، مسدود میشود. اگر سازمانی به فایروال وب مجهز نباشد، باید بهدنبال نشانههایی از نفوذ در سطح سرور و ورکاستیشن باشد. Red Canary اخیرا گزارشی منتشر کرد که نشانههای نفوذ با سوءاستفاده از آسیبپذیری مذکور را برای شرکتها و کارشناسان امنیتی شرح میدهد. Red Canary در پایان مصاحبه با ZDNet اطلاعات زیر را پیرامون حملههای Blue Mockingbird شرح میدهد: «ما مانند همیشه با انتشار اطلاعات سعی داریم تا به تیمهای امنیتی کمک کنیم. آنها با تکیه بر اطلاعات میتوانند استراتژیهای تشخیصی قویتری توسعه دهند که تهدیدهای احتمالی علیه سیستمهایشان را بهتر شناسایی کنند. بهنظر ما بهتر است که تیمهای امنیتی، توانایی خود را در شناسایی مواردی همچون پایداری COR_PROFILE در سیستم و دسترسی اولیهی آن ازطریق آسیبپذیری Telerik، افزایش دهند».
لینک کوتاه:
https://www.iranianejahan.ir/Fa/News/155907/