Blue Mockingbird Monero-Mining竞选活动针对Web应用程序

安全公司Red Canary的研究人员发现了一个名为Blue Mockingbird的门罗币加密货币开采活动，该活动利用了基于ASP.NET框架的Web应用程序中的CVE-2019-18935漏洞。

反序列化漏洞CVE-2019-18935可能被攻击者利用以实现远程代码执行，它影响ASP.NET AJAX的Progress Telerik UI，并且在美国国家安全局和澳大利亚信号局（ASD）的联合报告中也提到了该问题。）警告攻击者越来越多地利用易受攻击的Web服务器来部署Web Shell。

仅当通过单独的攻击获得加密密钥时，才可以利用此问题，这意味着攻击者必须在其活动中链接更多的攻击。

“ Blue Mockingbird是我们在观察到的一系列类似活动中使用的名称，这些活动涉及Windows系统上动态链接库（DLL）形式的Monero加密货币挖掘有效载荷。” 阅读Red Canary专家发布的报告。“他们通过利用面向公众的Web应用程序（特别是那些使用Telerik UI for ASP.NET的Web应用程序，然后通过多种技术执行和持久化）来实现初始访问”

黑客将针对ASP.NET的Telerik UI的易受攻击的版本作为目标，以将XMRig Monero挖掘有效负载部署为Windows系统上的DLL。专家还注意到，一旦破坏了系统，攻击者就会尝试横向移动。

根据专家的说法，蓝色知更鸟运动的历史可以追溯到2019年12月，目前仍在进行中。

研究人员观察到三种不同的用途：

• 用rundll32.exe执行，显式调用DLL导出fackaaxv；
• 使用/ s命令行选项使用regsvr32.exe执行；
• 使用配置为Windows服务DLL的有效负载执行。

分析继续说：“每个有效载荷都附带了一个常用的Monero采矿域的标准列表以及一个Monero钱包地址。” “到目前为止，我们已经确定了Blue Mockingbird使用的两个钱包地址正在积极流通。由于门罗币的私人性质，我们看不到这些钱包的余额来评估其成功。”

为了获得持久性，攻击者首先使用不同的技术提升特权（使用JuicyPotato漏洞将特权从IIS应用程序池身份虚拟帐户升级为NT Authority \ SYSTEM帐户，使用Mimikatz工具窃取访问凭据）。

然后，攻击者使用多种持久性技术，包括使用COR_PROFILER COM劫持来执行恶意DLL并恢复防御者删除的项目。

Blue Mockingbird威胁参与者通过提升特权并使用远程桌面协议（RDP）访问特权系统，并使用Windows资源管理器将恶意有效载荷部署到远程系统来横向移动。

研究人员推测，攻击者的工具包仍在积极开发中。

“对于缓解措施，重点在于修补Web服务器，Web应用程序以及应用程序的依赖项。Blue Mockingbird使用的大多数技术都会绕过白名单技术，因此最好的方法是禁止初始访问。考虑在您的环境中建立Windows计划任务的基准，以了解整个企业的正常情况。” 总结报告。

研究人员还在已发表的分析中包括了危害指标（IoC）。