یک کارزار استخراج مونرو با عنوان Blue Mockingbird در حال گسترش است که از آسیبپذیری CVE-۲۰۱۹-۱۸۹۳۵ در برنامههای وب مبتنی بر بستر ASP.NET بهرهجویی میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان از فعالیت یک کارزار استخراج ارز رمز (Cryptocurrency-mining) مونرو با عنوان Blue Mockingbird خبر دادهاند که در جریان گسترش آن از آسیبپذیری CVE-۲۰۱۹-۱۸۹۳۵ در برنامههای وب مبتنی بر بستر ASP.NET بهرهجویی (Exploit) میشود.
بهرهجویی از CVE-۲۰۱۹-۱۸۹۳۵ میتواند منجر به اجرای کد بهصورت از راه دور شود. Progress Telerik UI for ASP.NET AJAX از آسیبپذیری مذکور تأثیر میپذیرد.
با این حال بهرهجویی موفق از CVE-۲۰۱۹-۱۸۹۳۵ مستلزم در اختیار داشتن کلیدهای رمزگذاری است و بنابراین موفقیت در حمله نیازمند اجرای زنجیرهای از اقدامات است.
از بخشی از این حملات که در آن استخراج ارز رمرز مونرو در قالب یک فایل DLL انجام صورت میپذیرد با عنوان Blue Mockingbird یاد میشود. به گفته محققان در این کارزار دسترسی اولیه با بهرهجویی از برنامههای قابل دسترس بر روی اینترنت به ویژه Telerik UI for ASP.NET فراهم شده و در ادامه مهاجمان ضمن گسترش آلودگی در سطح شبکه قربانی، با استفاده از چندین تکنیک حضور خود را ماندگار میکنند.
هکرها با هدف قرار دادن نسخ آسیبپذیر Telerik UI for ASP.NET اقدام به توزیع کد استخراجکننده ارز رمز مونرو در قالب یک فایل DLL در سیستم عامل Windows میکنند.
گفته میشود که کارزار Blue Mockingbird حداقل از دسامبر سال میلادی گذشته فعال بوده است.
ازجمله تکنیکهای اجرای کد مخرب میتوان به موارد زیر اشاره کرد:
اجرا توسط rundll۳۲.exe و فراخوانی صریح یک DLL Export با عنوان fackaaxv
اجرا با استفاده از regsvr۳۲.exe با بکارگیری سوییچ /s در خط فرمان
اجرا توسط کد مخرب در قالب یک Windows Service DLL
در کد مخرب فهرستی از دامنههای متداول مورد استفاده در استخراج ارز رمز به همراه نشانی کیف ارز رمز مونرو لحاظ شده است. محققان دو نشانی کیف ارز رمز را در Blue Mockingbird شناسایی کردهاند. گر چه در نتیجه مخفی نگاه داشتن مقدار هر معامله در ارز رمز مونرو نمیتوان در خصوص درآمد مهاجمان از این کارزار اظهار نظر کرد.
برای ماندگاری، مهاجمان ابتدا دسترسیهای خود را ارتقا میدهند. برای این منظور از تکنیکهایی همچون بهکارگیری یک بهرهجوی JuicyPotato برای ترفیع سطح دسترسی یک حساب کاربری مجازی IIS Application Pool Identity به NT Authority\SYSTEM و سرقت اطلاعات اصالتسنجی از طریق ابزار Mimikatz استفاده میشود.
در ادامه مهاجمان از چندین روش نظیر بهرهگیری از COR_PROFILER COM برای اجرای یک DLL مخرب و بازگردانی فایلهای حذف شده توسط سیستمهای دفاعی استفاده میکنند.
گردانندگان Blue Mockingbird با حرکات جانبی خود در شبکه ضمن ارتقای سطح دسترسی، با بکارگیری پودمان Remote Desktop Protocol – RDP – اقدام به دسترسی یافتن به سیستمهای با دسترسی بالا و استفاده از Windows Explorer برای توزیع از راه دور کدهای مخرب بر روی سیستمها میکنند.
همچنین در برخی موارد، بهصورت از راه دور با استفاده فرمان و سوییچ schtasks.exe /S فرامین موسوم به Scheduled Tasks برای اجرای پروسههای مخرب ایجاد میشوند.
با این حال محققان معتقدند این کارزار همچنان در حال توسعه است. تمرکز بر نصب اصلاحیههای سرورهای وب، برنامههای وب و برنامههای وابسته به آنها از اصلیترین راهکارهای دفاعی در برابر این تهدید است. Blue Mockingbird قادر به عبور از سد فناوریهای Whitelisting بوده و به همین خاطر جلوگیری از رخنه اولیه، اهمیت بسزایی دارد. ضمن اینکه رصد مستمر فرامین Scheduled Tasks برای اطمینان یافتن از عدم اجرای پروسههای مخرب توسط این ابزار Windows توصیه میشود.