Blue Mockingbird compromette i server Windows per estrarre criptovalute

La complessità di un sistema aumenta costantemente, a meno che non si agisca attivamente per contenerla. A volte, però, la complessità è tale da permettere ai malintenzionati di sfruttare i piccoli difetti presenti nei sistemi a proprio vantaggio. Un nuovo gruppo di cybercriminali, chiamato Blue Mockingbird (dal nome di un uccello messicano, il tordo beffeggiatore blu), sta sfruttando una vulnerabilità presente nel framework Telerik di ASP.net per installare una versione di XMRRig, un software di estrazione della criptovaluta Monero (XMR). Risolvere il problema non è banale proprio per via della complessità del software.

Blue Mockingbird infetta i server per estrarre criptovalute (ma non Bitcoin): un problema complesso

Blue Mockingbird

Blue Mockingbird sfrutta la vulnerabilità CVE-2019-18935 presente in Telerik, un framework per la costruzione di interfacce grafiche utilizzato sui server che fanno uso della piattaforma ASP.net e di IIS (prodotti di Microsoft disponibili su Windows Server). Sfruttandola insieme ad altre due vulnerabilità note è possibile installare una webshell tramite la quale controllare il server da remoto, rendere l’accesso al server permanente e installare XMRRig.

L’obiettivo dei criminali è dunque lo sfruttamento della capacità di calcolo dei server per estrarre Monero (non Bitcoin, come solitamente avviene), più che compromettere i sistemi per estrarre informazioni; ciò non toglie che una volta assunto il controllo dei sistemi non è escluso che i criminali possano procedere con ulteriori attività.

Il problema sta nel fatto che la situazione non è facilmente risolvibile: Telerik è utilizzato in moltissimi progetti e molti amministratori di sistema (e anche sviluppatori) non sanno che tale framework viene utilizzato dal proprio software. Le versioni più recenti di Telerik non contengono la vulnerabilità, ma aggiornare il software che utilizza il framework può non essere triviale.

Blue Mockingbird non si limita a infettare i server pubblicamente accessibili da Internet, ma cerca di accedere anche alle reti dietro di essi per infettare ulteriori dispositivi. Come riporta ZDNet, i server compromessi sono un migliaio stando a quanto scoperto da Red Canary, un’azienda che si occupa di sicurezza che ha scoperto Blue Mockingbird. Ma questo numero è indubbiamente molto maggiore, dato che Red Canary ha certezza soltanto dei propri clienti e che Telerik è ampiamente utilizzato.

Ulteriori dettagli tecnici e indicatori di compromissione sono disponibili sul sito di Red Canary.

Sorgente articolo:
Blue Mockingbird compromette i server Windows per estrarre criptovalute

User ID Campaign ID Link
d9a95efa0a2845057476957a427b0499 l-99999981 Free Web Host
d9a95efa0a2845057476957a427b0499 l-99999987 Il tuo sito web Personalizzato
d9a95efa0a2845057476957a427b0499 l-99999986 Cloud Realtime
d9a95efa0a2845057476957a427b0499 l-99999985 Ugo Fiasconaro