هزاران سیستم سازمانی به بدافزار جدید گروه مجرم سایبری Blue Mockingbird آلوده شدند
ظاهرا هزاران کامپیوتر و سرور سازمانی به بدافزار معدنکاو رمزارز جدیدی آلوده شدهاند که رد آن به گروه مجرم سایبری موسوم به Blue Mockingbird میرسد. بدافزار مذکور، چندی پیش توسط تحلیلگر بدافزار شرکت امنیت سایبری ابری Red Canary شناسایی شد. محققان ادعا میکنند که گروه Blue Mockingbird احتمالا از ماه دسامبر سال ۲۰۱۹ مشغول به فعالیت بودهاند.
محققان ادعا میکنند گروه Blue Mockingbird سرورهای عمومی مجهز به ASP.NET را هدف قرار میدهند که از فریمورک Telerik بهعنوان رابط کاربری اصلی بهره میبرند. آنها از آسیبپذیری CVE-2019-18935 سوءاستفاده کرده و یک وبشل را در سرور قربانی جانمایی میکنند. مجرمان سایبری سپس از روش موسوم به Juicy Potato برای کسب دسترسی ادمین استفاده کرده و پیکربندی سرور را تغییر دستکاری میکنند. این اقدامها باعث میشود تا کد آلوده، پس از بوت شدن سرور نیز به فعالیت ادامه شود.
مجرمان سایبری پس از نفوذ و به دست گرفتن کنترل سیستم، نسخهای از بدافزار معدنکاو XMRRig را دانلود و نصب میکنند. این بدافزار، مانند بسیاری دیگر از معدنکاوهای غیرقانونی رمزارز، برای معدنکاوی رمزارز مونرو (XMR) استفاده میشود. این رمزارز ساختار حریم خصوصی و فعالیت ناشناس بسیار پیچیدهای دارد و بیش از تمامی انواع موجود، مورد سوءاستفادهی مجرمان قرار میگیرد.
متخصصان Red Canary میگویند که اگر سرورهای IIS عمومی به شبکههای داخلی سازمانها متصل باشند، مجرمان سایبری تلاش میکنند تا به شبکهی داخلی هم نفوذ کنند. آنها با سوءاستفاده از ساختار RDP (مخفف Remote Desktop Protocol) یا SMB (مخفف Server Messagd Block) ضعیف در شبکههای داخلی، به کامپیوترهای دیگر نفوذ میکنند.
شرکت امنیتی Red Canary در مصاحبهای که چندی پیش با ZDNet انجام داد، اعلام کرد که اطلاعات دقیقی از گستردگی عملیاتی گروه Blue Mockingbird در دست نیست. البته آنها تخمین میزدند که تاکنون هزار مورد آلودهسازی توسط بدافزار انجام شده باشد. فراموش نکنید که Red Canary چشمانداز محدودی نسبت به دامنهی فعالیت داشت و همین تعداد نفوذ هم نگرانکننده بهنظر میرسد. نمایندهی شرکت در مصاحبه میگوید: «ما مانند هر شرکت امنیتی دیگری، نگرش و دیدگاه محدودی نسبت به حوزهی نفوذ تهدید امنیتی داریم و بههیچوجه نمیتوانیم بهصورت دقیق، دامنهی فعالیت را تخمین بزنیم. این تهدید، درصد بسیار پایینی از سازمانهای تحت نظارت ما را آلوده کرده است. بههرحال ما در مدت کوتاهی توانستیم حدود هزار مورد آلودگی را در آن سازمانها تشخیص دهیم». درنهایت Red Canary اعتقاد دارد که احتمالا سازمانهای بسیار زیادی تحت تأثیر نفوذ و آلودگی بودهاند. بهعلاوه، آنهایی که تصور امن بودن دارند نیز شاید به بدافزار آلوده شوند.
همانطور که گفته شد، بخش رابط کاربری Telerik UI در سرورهای مجهز به ASP.NET، آسیبپذیری اصلی و راه نفوذ را برای مجرمان فراهم میکند. کارشناسان اعتقاد دارند این بخش در سرورهای مجهز به آخرین نسخه از ASP.NET هم دیده میشود و در بسیاری موارد، شاید بهدرستی بهروز نشده باشد. همین بهروز نبودن رابط کاربری، شرکتها را در معرض خطرهای جدی قرار میدهد. بسیاری از شرکتها و توسعهدهندهها احتمالا حتی نمیدانند که Telerik UI بهعنوان بخشی داخلی در اپلیکیشن آنها اجرا میشود.
پس از اینکه جزئیات آسیبپذیری Telerik UI در سال گذشته بهصورت عمومی منتشر شد، سوءاستفادههای زیادی از آن صورت گرفت. مجرمان سایبری با سوءاستفاده از اطلاعات، روشهای نفوذ خود را بهبود دادند و راههای جدیدی برای تزریق بدافزار پیدا کردند. دراینمیان کارشناسان IT در سازمانها اطلاعات کاملی از اخبار نداشتند و ساختار شرکت را در معرض خطر قرار دادند. بهعنوان مثال، آژانس امنیت ملی ایالات متحده NSA، در ماه آوریل آسیبپذیریهای Telerik UI CVE-2019-18935 را در صدر آسیبپذیریهایی قرار داد که ازسوی مجرمان سایبری برای نصب وبشل در سرورها استفاده میشود.
مقالههای مرتبط:
از گزارشهای دیگر پیرامون آسیبپذیری خطرناک سروری میتوان به گزارش اخیر مرکز امنیت سایبری استرالیا ACSC اشاره کرد که چند روز پیش منتشر شد. این مرکز نیز آسیبپذیری Telerik UI CVE-2019-18935 را بهعنوان یکی از پرکاربردترین ابزارها و روشهای نفوذ به سازمانهای استرالیایی در سالهای ۲۰۱۹ و ۲۰۲۰ نامید.
بسیاری از سازمانها احتمالا امکان بهروزرسانی اپلیکیشنهای آسیبپذیر را به جدیدترین نسخهها ندارند. در چنین مواردی آنها باید مطمئن شوند که رویکردهای نفوذ مبتنی بر Telerik UI CVE-2019-18935 در سطح فایروال، مسدود میشود. اگر سازمانی به فایروال وب مجهز نباشد، باید بهدنبال نشانههایی از نفوذ در سطح سرور و ورکاستیشن باشد. Red Canary اخیرا گزارشی منتشر کرد که نشانههای نفوذ با سوءاستفاده از آسیبپذیری مذکور را برای شرکتها و کارشناسان امنیتی شرح میدهد.
Red Canary در پایان مصاحبه با ZDNet اطلاعات زیر را پیرامون حملههای Blue Mockingbird شرح میدهد: «ما مانند همیشه با انتشار اطلاعات سعی داریم تا به تیمهای امنیتی کمک کنیم. آنها با تکیه بر اطلاعات میتوانند استراتژیهای تشخیصی قویتری توسعه دهند که تهدیدهای احتمالی علیه سیستمهایشان را بهتر شناسایی کنند. بهنظر ما بهتر است که تیمهای امنیتی، توانایی خود را در شناسایی مواردی همچون پایداری COR_PROFILE در سیستم و دسترسی اولیهی آن ازطریق آسیبپذیری Telerik، افزایش دهند».