Trong một thông báo đến từ công ty bảo mật đám mây Red Canary, hàng ngàn máy chủ của các doanh nghiệp lớn trên khắp thế giới được cho là đã bị nhiễm phần mềm độc hại khai thác tiền điện tử được vận hành bởi một nhóm hacker có tên Blue Mockingbird.
Được phát hiện vào đầu tháng này bởi các nhà phân tích phần mềm độc hại của công ty, nhóm Blue Mockingbird được cho là đã hoạt động kể từ tháng 12 năm 2019.
Các nhà nghiên cứu cho biết Blue Mockingbird tấn công các máy chủ chạy các ứng dụng ASP.NET và có sử dụng khung Telerik cho giao diện người dùng (UI).
Tin tặc khai thác lỗ hổng CVE-2019-18935 để xâm nhập vào máy chủ để tạo vỏ web. Sau đó, chúng sử dụng một phiên bản của Juicy Potato để có quyền truy cập ở cấp quản trị viên và sửa đổi một số cài đặt trong máy chủ.
Khi có quyền truy cập đầy đủ vào một hệ thống, chúng tải xuống và cài đặt phiên bản XMRRig – một ứng dụng khai thác tiền điện tử phổ biến đối với đồng Monero (XMR).
Các chuyên gia của Red Canary cho biết họ vẫn chưa nhìn thấy được mọi hoạt động đầy đủ của botnet này. Nhưng với tầm nhìn hạn chế hiện tại, các chuyên gia tin rằng botnet đã gây ra ít nhất 1.000 trường hợp nhiễm mã độc trong thời gian rất ngắn.
Trong một lưu ý được đưa ra vào cuối tháng 4, Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) đã đưa lỗ hổng Telerik UI CVE-2019-18935 vào danh sách một trong những lỗ hổng được khai thác nhiều nhất để tạo vỏ web trên máy chủ.
Trong một lưu ý khác về vấn đề bảo mật được công bố vào tuần trước, Trung tâm an ninh mạng Australia (ACSC) cũng liệt kê lỗ hổng Telerik UI CVE-2019-18935 là một trong những lỗ hổng bị khai thác nhiều nhất để tấn công các tổ chức tại quốc gia này vào năm 2019 và 2020.
Có thể bạn quan tâm